Nessun cyberattacco a Poste Italiane. Ma i dati di alcuni utenti di Poste.it sarebbero finiti in un data leak secondo un threat actor che ha messo in vendita 16 record con nome, cognome, codice fiscale, data di nascita, email e password in chiaro. Ma sostiene di essere in possesso di milioni di dati di questo genere legati agli utenti di Poste.it La segnalazione è arrivata da un post su Linkedin pubblicato dall’esperto di sicurezza Andrea Draghetti.
“Nella notte un threat actor sul forum DarkForums ha messo in vendita oltre un milione di record che dichiara appartenere a utenti di Poste Italiane, annunciando quindi un possibile data breach. L’attore, che non ha precedenti tali da valutarne l’affidabilità, ha pubblicato un sample di 16 record contenenti email, password, nominativo, codice fiscale, data di nascita e numero di telefono“, ha spiegato Draghetti a Cybersecurityitalia.
“Per questo motivo ritengo più probabile che il criminale abbia sfruttato credenziali rubate tramite malware per accedere ai profili degli utenti sul portale di Poste e collezionare i dati personali aggiuntivi presenti (nome, cognome, codice fiscale, cellulare, ecc.). Questo scenario spiegherebbe sia il numero ridotto rispetto al totale clienti, sia la composizione dei dati. Resta comunque da verificare la reale disponibilità dell’intero milione di record, che ad oggi – conclude Draghetti – è solo una dichiarazione del threat actor non supportata da prove concrete”.
Secondo questa ricostruzione, i dati non proverrebbero da un attacco diretto ai sistemi centrali di Poste, ma da malware logs aggregati.
La risposta ufficiale di Poste Italiane conferma questa lettura:
“Il Gruppo Poste italiane comunica che non si è verificata alcuna sottrazione, né trasferimento di dati dai sistemi informativi aziendali, e che l’operatività e la sicurezza dei servizi digitali aziendali non hanno subito compromissioni. In merito all’annuncio online, in cui un soggetto afferma di essere in possesso delle credenziali di accesso di alcuni clienti del portale “Poste.it”, l’azienda spiega che le credenziali in questione non risultano acquisite tramite una violazione dei sistemi aziendali e che sta collaborando con le Autorità competenti impegnate nelle indagini in corso. L’azienda ribadisce che la sicurezza dei clienti è una priorità e invita gli utenti a non divulgare mai le proprie credenziali di accesso; a cambiare periodicamente la password e a non utilizzare le stesse credenziali per account e servizi diversi”, ha fatto sapere l’azienda attraverso una nota.
