All’interno di alcuni dipartimenti universitari (Pisa, Genova, Milano, Bologna, …), girano mail in cui viene segnalato che lo spazio della propria casella di posta ha raggiunto il limite e devono essere eliminati messaggi. Le mail riportano come mittente una persona che lavora realmente all’università (probabilmente con il sistema compromesso o infettato da virus/worm). Nelle mail sono richieste inoltre le credenziali di accesso alla propria casella di posta, mediante un form a questo link (o altri link simili):
http://pahinaphotos.com/bmsd/use/control/form1.html
Le pagine sono state generate con phpFormGenerator e il sito è stato con molta probabilità compromesso da qualche cracker o gruppo, e i file di configurazione di php sono aperti e accessibili in lettura/scrittura a chiunque. Spostandosi nell’albero delle directory è possibile raggiungere alcuni db tra cui uno (http://pahinaphotos.com/bmsd/use/control/admin) contenente le credenziali di accesso alla posta di moltissimi utenti (ricercatori, dottorandi, professori, …).
Ecco uno screenshot di uno dei database (ho cancellato ovviamente per privacy tutti i campi):
Segnalato alla Polizia Postale in data 17/04/2012, codice 422473/2012.
Matteo
