Nulled.io è un sito nel quale i criminali informatici si scambiano account rubati, software pirata e tecniche per commettere reati informatici. O per essere più precisi, era un covo per criminali. Infatti ora è chiuso, ma non per un intervento delle forze dell'ordine: è chiuso perché è stato hackerato da ignoti.

È stupendamente ironico che un sito di hacker cattivi, dediti a violare gli account altrui e rubare le informazioni degli altri, sia stato "bucato", come si dice in gergo: stavolta sono i loro dati a essere stati raccolti e pubblicati in Rete in un file da circa 1,3 gigabyte.

I dati trafugati includono gli indirizzi di mail e i messaggi privati di quasi mezzo milione di frequentatori di Nulled, oltre 5.000 registrazioni di compravendite di informazioni rubate, 12.600 fatture, gli indirizzi PayPal degli utenti e i loro indirizzi IP. Anche i dati e i messaggi dell'area VIP, che era una fonte di reddito per Nulled, sono stati catturati e disseminati in Rete.

L'incursione è stata resa possibile probabilmente dal fatto che il sito usava un software, IP.board, che aveva delle vulnerabilità ben note e una scarsa protezione delle password (MD5 al posto di bcrypt o altro).

Gli scambi di messaggi fra gli utenti di Nulled sono molto illuminanti: trattative per spartirsi i profitti di account PayPal e Bitcoin rubati, l'installazione di un keylogger nel laboratorio di un'università imprecisata, una richiesta di aiuto per violare un account Hotmail, e altro ancora.

Ironia nell'ironia, lo slogan di Nulled è Expect the unexpected, ossia "aspettati l'inaspettato". Ma mi sa che questo attacco inaspettato non se l'aspettava.

Fonti: BBC, Ars Technica, Risk Based Security.