I dati apparsi sul dark web non derivano da un attacco ai sistemi di Poste Italiane, ma da credenziali rubate tramite malware agli utenti e poi riutilizzate per accedere agli account. Poste Italiane conferma: i server non sono stati violati.

Ieri notte è comparso un annuncio su un forum frequentato da cybercriminali. Nel messaggio l'hacker rivendicava di aver rubato un milione di dati ai clienti di Poste Italiane. Secondo quanto pubblicizzato, l’archivio custodisce informazioni di altissimo valore: nomi, cognomi, codici fiscali, date di nascita, indirizzi e-mail e persino password in chiaro. Un pacchetto che, se fosse stato davvero sottratto direttamente dai sistemi centrali del gruppo, avrebbe rappresentato una delle più gravi violazioni informatiche registrate in Italia.

Gli esperti che hanno analizzato il campione diffuso dall’hacker hanno notato subito delle anomalie. Non solo, Poste ha chiarito tempestivamente che i sistemi dell'azienda non hanno subito intrusioni né trasferimenti di dati. “Non si è verificata alcuna sottrazione dai sistemi informativi aziendali, e l’operatività dei servizi digitali non ha subito compromissioni”. Le credenziali messe in vendita nel darkkweb, infatti, non derivano da una violazione interna, ma da attacchi mirati ai singoli utenti.

Perché i dati non provengono da un vero attacco a Poste

La segnalazione è stata resa pubblica dall’esperto di cybersicurezza Andrea Draghetti, che in un post su LinkedIn ha analizzato i campioni diffusi dal presunto hacker. Fin dai primi controlli, i dubbi sulla natura del presunto data breach hanno iniziato a prendere forma. Due gli indizi rilevanti. Innanzitutto i dati rivendicati dall'hacker, circa un milione, un numero decisamente inferiore rispetto agli oltre 40 milioni di account registrati su poste.it. A destare sospetti sono state anche le password mostrate in chiaro, non cifrate come accadrebbe se fossero state estratte dai sistemi interni dell’azienda.

Ulteriori verifiche hanno rafforzato i sospetti: incrociando 16 indirizzi e-mail contenuti nei sample con Hudson Rock, uno dei principali database di intelligence sui malware-logs, 15 risultavano già compromessi in precedenti attacchi hacker. Molto probabilmente l'hacker ha utilizzato credenziali già compromesse per accedere negli account di Poste e ottenere ulteriori dati personali disponibili negli account.

La posizione ufficiale di Poste Italiane

Poste italiane in una nota ufficiale ha spiegato che i propri sistemi non hanno subito intrusioni né trasferimenti di dati. Ha anche aggiunto che le credenziali messe in vendita non derivano da una violazione interna, ma da utenti che le hanno viste sottratte in altri contesti.