Avete sempre voluto capire se una vostra email è stata compromessa? O magari dovete semplicemente verificare l'esistenza di un indirizzo di posta elettronica?

Oggi giorno sentiamo sempre più spesso termini come leak e data breach  utilizzati in ambito tecnologico, ma cosa vogliono dire?  

Il termine leak in campo informatico può riferirsi ad una "fuga", "perdita", "falla" cioè  ad una "fuga di notizie o dati". Mentre quando si parla di Data Breach si intende una distruzione, la perdita, la modifica o la divulgazione non autorizzata di dati personali a seguito di una violazione di sicurezza ad un sistema informatico..
 
Spesso questi dati sono raccolti in corposi database che contengono email, password, indirizzi IP, username e  password criptate. Tutto questo materiale è di frequente prima venduto da Hacker sul Dark-Web e poi, quando perde troppo di valore, facilmente reperibile online. 

Potrete ottenere un quadro più approfondito del fenomeno in questo articolo apparso su OSintCurio.us

Ma come ci possono tornare utili questi milioni di dati? In che modo possiamo correlare queste informazioni con una email che abbiamo necessità di verificare?

Ad esempio volendo verificare l'email march28@yahoo.com dovrò interrogare uno di questi database e solitamente per svolgere questi controlli ci appoggiamo a siti specializzati quali Have I Been Pwned (HIBP), databases.today  o DeHashed.

Per automatizzare e velocizzare le mie ricerche preferisco fare una interrogazione da riga di comando semplice ed immediata tramite uno script python presente in GITHUB: WhatBreach.

La schermata di help di  WhatBreach.
La schermata di help di WhatBreach.

Per l'installazione sarà sufficiente seguire le indicazioni fornite dallo sviluppatore.

METODO DI LAVORO.

Questo script ci permette di ricercare una email o una lista di email in haveibeenpwned.com  ed in caso positivo, effettuerà una ulteriore query di ricerca su Dehashed e Pastebin mostrandoci i risultati direttamente a terminale arricchiti con i link del dump di appartenza.

WhatBreach_results
WhatBreach in azione

La email march28@yahoo.com, come evidenziato dai risultati al terminale, è stata oggetto di più violazioni.

Se desiderate approfondire la ricerca interrogate proprio quest'ultimo sito web seguendo il seguente schema:

Workflow di ricerca email
Workflow di ricerca di un'email.

è infine possibile scaricare in locale l'eventuale database dell'intrusione dal sito web  databases.today utilizzando opzione -d .

 WhatBreach usage  "-d "
WhatBreach utilizzo dell'opzione "-d" .

Una volta scaricato il database in locale, di default in ~/.whatbreach_home/downloads, sarà semplice eseguire verifiche ancora più approfondite.

downloaded_db
download del db di interesse.

Conclusione

Questo script permette di effettuare ricerche estremamente veloci tramite l'utilizzo di una semplice sequenza di istruzioni a linea di comando nel terminale della nostra distribuzione Linux.

Anche se ci troviamo di fronte alle prime versioni di un programma All-in-one, se lo sviluppatore mantenesse quanto "promesso" nel suo TODO, questo prodotto diventerà presto uno strumento estremamente versatile.

Tags:
data breach
Polifemo
Post by Polifemo
July 4, 2019

Comments