Poste Italiane, i dati di un milione di utenti nel dark web: cosa c’è di vero nell’attacco rivendicato dagli hacker
Ieri notte è comparso un annuncio su un forum frequentato da cybercriminali. Nel messaggio l'hacker rivendicava di aver rubato un milione di dati ai clienti di Poste Italiane. Secondo quanto pubblicizzato, l’archivio custodisce informazioni di altissimo valore: nomi, cognomi, codici fiscali, date di nascita, indirizzi e-mail e persino password in chiaro. Un pacchetto che, se fosse stato davvero sottratto direttamente dai sistemi centrali del gruppo, avrebbe rappresentato una delle più gravi violazioni informatiche registrate in Italia.
Gli esperti che hanno analizzato il campione diffuso dall’hacker hanno notato subito delle anomalie. Non solo, Poste ha chiarito tempestivamente che i sistemi dell'azienda non hanno subito intrusioni né trasferimenti di dati. “Non si è verificata alcuna sottrazione dai sistemi informativi aziendali, e l’operatività dei servizi digitali non ha subito compromissioni”. Le credenziali messe in vendita nel darkkweb, infatti, non derivano da una violazione interna, ma da attacchi mirati ai singoli utenti.
Perché i dati non provengono da un vero attacco a Poste
La segnalazione è stata resa pubblica dall’esperto di cybersicurezza Andrea Draghetti, che in un post su LinkedIn ha analizzato i campioni diffusi dal presunto hacker. Fin dai primi controlli, i dubbi sulla natura del presunto data breach hanno iniziato a prendere forma. Due gli indizi rilevanti. Innanzitutto i dati rivendicati dall'hacker, circa un milione, un numero decisamente inferiore rispetto agli oltre 40 milioni di account registrati su poste.it. A destare sospetti sono state anche le password mostrate in chiaro, non cifrate come accadrebbe se fossero state estratte dai sistemi interni dell’azienda.
Ulteriori verifiche hanno rafforzato i sospetti: incrociando 16 indirizzi e-mail contenuti nei sample con Hudson Rock, uno dei principali database di intelligence sui malware-logs, 15 risultavano già compromessi in precedenti attacchi hacker. Molto probabilmente l'hacker ha utilizzato credenziali già compromesse per accedere negli account di Poste e ottenere ulteriori dati personali disponibili negli account.
La posizione ufficiale di Poste Italiane
Poste italiane in una nota ufficiale ha spiegato che i propri sistemi non hanno subito intrusioni né trasferimenti di dati. Ha anche aggiunto che le credenziali messe in vendita non derivano da una violazione interna, ma da utenti che le hanno viste sottratte in altri contesti.
"Poste Italiane comunica che non si è verificata alcuna sottrazione, né trasferimento di dati dai sistemi informativi aziendali, e che l’operatività e la sicurezza dei servizi digitali aziendali non hanno subito compromissioni. In merito all’annuncio online, in cui un soggetto afferma di essere in possesso delle credenziali di accesso di alcuni clienti del portale “Poste.it”, l’azienda spiega che le credenziali in questione non risultano acquisite tramite una violazione dei sistemi aziendali e che sta collaborando con le Autorità competenti impegnate nelle indagini in corso. L’azienda ribadisce che la sicurezza dei clienti è una priorità e invita gli utenti a non divulgare mai le proprie credenziali di accesso; a cambiare periodicamente la password e a non utilizzare le stesse credenziali per account e servizi diversi."
