La nota del gruppo: “Poste Italiane comunica che non si è verificata alcuna sottrazione, né trasferimento di dati dai sistemi informativi aziendali, e che l’operatività e la sicurezza dei servizi digitali aziendali non hanno subito compromissioni”.
Nessun cyberattacco a Poste Italiane. Ma i dati di alcuni utenti di Poste.it sarebbero finiti in un data leak secondo un threat actor che ha messo in vendita oltre un milione di record con nome, cognome, codice fiscale, data di nascita, email e password in chiaro. La segnalazione è arrivata da un post su Linkedin pubblicato dall’esperto di sicurezza Andrea Draghetti.
“Nella notte un threat actor sul forum DarkForums ha messo in vendita oltre un milione di record che dichiara appartenere a utenti di Poste Italiane, annunciando quindi un possibile data breach. L’attore, che non ha precedenti tali da valutarne l’affidabilità, ha pubblicato un sample di 16 record contenenti email, password, nominativo, codice fiscale, data di nascita e numero di telefono“, ha spiegato Draghetti a Cybersecurity Italia.
“Alcuni elementi mi hanno fatto dubitare dell’origine diretta dai sistemi di Poste: innanzitutto il numero di record, molto inferiore ai circa 40 milioni di clienti complessivi, e soprattutto la presenza di password in chiaro. Analizzando i 16 record, 15 indirizzi email risultano collegati a infezioni malware già note in passato (verifica fatta tramite la piattaforma Hudson Rock)“, ha aggiunto l’esperto.
“Per questo motivo ritengo più probabile che il criminale abbia sfruttato credenziali rubate tramite malware per accedere ai profili degli utenti sul portale di Poste e collezionare i dati personali aggiuntivi presenti (nome, cognome, codice fiscale, cellulare, ecc.). Questo scenario spiegherebbe sia il numero ridotto rispetto al totale clienti, sia la composizione dei dati. Resta comunque da verificare la reale disponibilità dell’intero milione di record, che ad oggi – conclude Draghetti – è solo una dichiarazione del threat actor non supportata da prove concrete”.
Secondo questa ricostruzione, i dati non proverrebbero da un attacco diretto ai sistemi centrali di Poste, ma da malware logs aggregati.
La risposta ufficiale di Poste Italiane conferma questa lettura: “È un attacco che non ha riguardato direttamente i nostri sistemi e ci sono indagini in corso, per fortuna è residuale”, ha confermato l’azienda.
“Poste Italiane comunica che non si è verificata alcuna sottrazione, né trasferimento di dati dai sistemi informativi aziendali, e che l’operatività e la sicurezza dei servizi digitali aziendali non hanno subito compromissioni. In merito all’annuncio online, in cui un soggetto afferma di essere in possesso delle credenziali di accesso di alcuni clienti del portale “Poste.it”, l’azienda spiega che le credenziali in questione non risultano acquisite tramite una violazione dei sistemi aziendali e che sta collaborando con le Autorità competenti impegnate nelle indagini in corso. L’azienda ribadisce che la sicurezza dei clienti è una priorità e invita gli utenti a non divulgare mai le proprie credenziali di accesso; a cambiare periodicamente la password e a non utilizzare le stesse credenziali per account e servizi diversi”, ha fatto sapere l’azienda attraverso una nota.
