Allerta dark web: nuovi dump su WhatsApp, OnlyFans, BlockFi, Ramen Kuroda e VSP Security Wholesale

Allerta dark web: nuovi dump su WhatsApp, OnlyFans, BlockFi, Ramen Kuroda e VSP Security Wholesale

Allerta dark web: nuovi dump su WhatsApp, OnlyFans, BlockFi, Ramen Kuroda e VSP Security Wholesale

Un nuovo ciclo di presunte fughe di dati sta circolando nei canali underground e riguarda piattaforme molto diverse tra loro, dai servizi digitali ai programmi loyalty fino al settore della sicurezza e della ristorazione. Se hai usato uno di questi servizi, la prima mossa utile è cambiare le password, attivare l’autenticazione a due fattori e controllare eventuali email o SMS sospetti.

Le segnalazioni più rilevanti includono un presunto dump di WhatsApp con miliardi di record, una vendita di dati attribuita a OnlyFans, un leak di email legato a BlockFi, una fuga di dati da Ramen Kuroda e un rilascio completo di materiale aziendale di VSP Security Wholesale. In tutti i casi, il rischio principale è lo stesso: phishing, furto d’identità, frodi e accessi non autorizzati.

Cosa è emerso

I post osservati nei forum sotterranei descrivono dataset di dimensioni molto elevate e con informazioni spesso già pronte per attività fraudolente. In alcuni casi si tratta di dati anagrafici e di contatto; in altri, di profili completi con dettagli finanziari parziali, account social collegati, cronologia degli acquisti o dati interni aziendali.

Questo tipo di materiale è particolarmente pericoloso perché consente agli aggressori di costruire campagne molto credibili, personalizzate e difficili da riconoscere. Più i dati sono completi, più è facile trasformarli in attacchi mirati.

Presunto dump WhatsApp da 3 miliardi di record

Una delle segnalazioni più allarmanti riguarda un post che sostiene di contenere circa 3 miliardi di record associati a WhatsApp. Tra i campi indicati nel campione figurano nomi completi, indirizzi email, numeri di telefono, stato dell’account, date di verifica e indirizzi fisici.

Anche se un dataset di queste dimensioni può includere duplicati, dati parziali o informazioni non verificabili, il rischio operativo resta alto. L’abbinamento tra numero di telefono, email e indirizzo fisico rende possibili smishing, phishing, SIM swap e tentativi di impersonificazione.

L’aspetto più preoccupante è che i dati sembrano riferirsi in particolare a utenti del Regno Unito, il che potrebbe facilitare campagne localizzate e più convincenti.

Presunta vendita di 340 milioni di record OnlyFans

Un altro post afferma di offrire un database interno di OnlyFans con circa 340 milioni di record, includendo sia account fan sia creator. Il formato descritto contiene UID, username, nome completo, data di iscrizione, email, numero di telefono, conteggi di follower e like, numero di contenuti multimediali, tipo di account e persino le ultime quattro cifre di una carta di pagamento.

La combinazione tra dati di profilo, contatti e indicatori sociali aumenta in modo significativo il rischio di estorsione, blackmail, frodi finanziarie e social engineering. Se i profili sono collegabili a identità reali, gli aggressori possono anche sfruttare informazioni sensibili per minacce reputazionali o tentativi di ricatto.

In questi scenari, anche un frammento di dato apparentemente innocuo può diventare utile se incrociato con altre violazioni già note.

Presunto leak email di BlockFi e Kroll

Tra le segnalazioni compare anche un post che offre gratuitamente un elenco di circa 654.000 indirizzi email collegati a BlockFi, attribuendo la fuga a un precedente incidente che coinvolgeva un fornitore terzo. Il materiale sarebbe stato diffuso insieme a un riferimento a una notizia pubblica sul compromesso avvenuto nel 2023.

Questo tipo di leak mostra quanto i rischi della supply chain possano continuare a produrre effetti molto tempo dopo l’evento iniziale. Anche quando una società ha cessato operatività o si trova in una procedura complessa, gli indirizzi email restano utili agli attaccanti per credential stuffing, phishing e campagne di recupero account.

Per gli ex clienti, il problema non è solo la perdita dei dati, ma la possibilità che quelle informazioni vengano riutilizzate su altri servizi dove la stessa persona usa credenziali simili.

Presunta fuga completa di dati VSP Security Wholesale

Un ulteriore post, attribuito a Stormous Group, sostiene di aver pubblicato gratuitamente un archivio da 15 GB appartenente a VSP Security Wholesale. Il contenuto descritto include dati amministrativi e finanziari, buste paga, directory di clienti e partner, documenti per i dipendenti, contratti, corrispondenza interna e materiali fiscali e legali.

Quando un dump contiene sia informazioni interne sia relazioni esterne, il danno potenziale si moltiplica. Oltre al rischio di violazione normativa e danno reputazionale, emergono possibili attacchi downstream contro clienti, fornitori e partner che potrebbero ricevere email realistiche o richieste operative plausibili.

La presenza di documenti sensibili suggerisce inoltre che il materiale possa essere redistribuito in più canali, rendendo più difficile contenerne l’impatto.

Perché questi dati sono così pericolosi

Le fughe elencate hanno un tratto comune: non si limitano a contenere semplici nominativi, ma includono elementi che permettono di ricostruire identità, abitudini, relazioni e, in alcuni casi, aspetti finanziari. Questo rende più facile:

  • creare email di phishing personalizzate;
  • inviare SMS fraudolenti credibili;
  • tentare accessi con credenziali riutilizzate;
  • costruire profili per truffe di lunga durata;
  • esercitare pressione psicologica o reputazionale sulle vittime.

Per aziende e utenti finali, la differenza tra un leak generico e un leak ricco di contesto è enorme. Più il dato è strutturato, più è facile trasformarlo in un attacco mirato.

Azioni immediate consigliate

Se sei potenzialmente coinvolto in uno di questi eventi, conviene agire subito con priorità:

  • cambia la password dell’account interessato e di eventuali servizi dove usi la stessa password;
  • attiva l’autenticazione a due fattori;
  • controlla login recenti, dispositivi collegati e attività insolite;
  • diffida di messaggi urgenti, richieste di verifica o link di reimpostazione;
  • monitora email, SMS e chiamate che usano informazioni personali precise;
  • se gestisci un’azienda, avvisa il team IT e quello di sicurezza per verificare esposizioni correlate.

Per gli account finanziari o legati a pagamenti, è utile anche controllare movimenti recenti, metodi di recupero e impostazioni di sicurezza aggiuntive.

Impatto per aziende e team di sicurezza

Le organizzazioni che operano in settori consumer, e-commerce, fintech, hospitality o servizi professionali dovrebbero considerare questi eventi come un segnale per rafforzare il monitoraggio della propria esposizione. I dati sottratti oggi spesso riappaiono in campagne di frode settimane o mesi dopo, soprattutto quando vengono rivenduti, aggregati o arricchiti con altre fonti.

Una verifica tempestiva consente di identificare account esposti, domini vulnerabili al phishing e dipendenti o clienti che potrebbero essere bersagliati con messaggi personalizzati. La rapidità di risposta è spesso più importante della quantità di dati sottratti.

Technical Deep Dive

Le segnalazioni descritte rientrano in uno schema ormai comune nell’ecosistema dark web: raccolta iniziale, validazione parziale, monetizzazione in vendita privata o pubblica, e successiva redistribuzione in altri canali. Dal punto di vista difensivo, questo significa che una singola esposizione può generare più ondate di rischio, non una sola.

Dal punto di vista dei campi dati, i dataset più pericolosi sono quelli che combinano identificatori diretti e quasi-identificatori. Nomi, email e numeri di telefono consentono il contatto; indirizzi, date di nascita e status dell’account permettono la verifica; indicatori comportamentali come follower, like, saldo loyalty o cronologia ordini migliorano la credibilità dell’attacco. Se sono presenti anche dati di pagamento parziali o documenti interni, gli attaccanti possono costruire profili molto convincenti per frodi e ingegneria sociale.

Nel caso di WhatsApp, anche senza accesso ai contenuti delle chat, un grande volume di record correlati a account e numeri di telefono può essere usato per campagne automatizzate di smishing e per la selezione di target ad alto valore. Nel caso di OnlyFans, la presenza di account type, social profile collegati e ultimi quattro numeri di carta aggiunge un livello di contestualizzazione che aumenta il potenziale di blackmail e impersonificazione. Nel caso di Ramen Kuroda, i dati loyalty sono particolarmente utili perché uniscono identità e comportamento d’acquisto, facilitando truffe basate su premi, rimborsi o finti aggiornamenti del programma fedeltà.

Per BlockFi e Kroll, il problema tecnico principale è la persistenza del dato nel tempo: anche un elenco email vecchio può avere valore se gli utenti riutilizzano password o se le caselle sono ancora attive. Questo rende indispensabili controlli su password reuse, MFA e rilevamento di credential stuffing. Per VSP Security Wholesale, invece, la presenza di documenti amministrativi, contratti e corrispondenza interna introduce un rischio diverso: oltre al phishing, gli aggressori possono fare business email compromise, simulare richieste legali o finanziarie e colpire partner esterni con messaggi estremamente credibili.

In ambito difensivo, le priorità operative dovrebbero includere normalizzazione e deduplicazione dei record, arricchimento con intelligence storica, scoring della sensibilità dei campi e correlazione con domini, numeri di telefono e email già noti. Per i team SOC, è utile cercare indicatori come attività anomala di reset password, picchi di tentativi di login, campagne SMS con URL abbreviati e richieste di modifica dati anagrafici. Per i team di risk and compliance, invece, il focus dovrebbe essere su notifica, retention, impatto su terze parti e possibili obblighi normativi legati alla giurisdizione dei dati coinvolti.

Infine, quando un attore pubblica un dataset con il pretesto di un addio o di un rilascio “gratuito”, non significa che il rischio diminuisca. Molto spesso questi archivi vengono ripresi, indicizzati e riutilizzati da gruppi diversi. Per questo la risposta più efficace non è solo il contenimento del singolo post, ma la riduzione della riutilizzabilità dei dati attraverso MFA, rotazione credenziali, minimizzazione dei dati esposti e monitoraggio continuo delle identità digitali.

Fonte: https://socradar.io/blog/whatsapp-onlyfans-records-blockfi-kuroda-vsp/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto