Nella notte di ieri è apparso in un forum del cybercrime un annuncio che ha catturato l’attenzione: un threat actor dichiarava di avere in vendita un database con oltre un milione di record attribuiti a clienti di Poste Italiane.

La lista conterrebbe nomi, cognomi, codici fiscali, date di nascita, e-mail e password in chiaro. Dati che, vista la loro sensibilità, rappresenterebbero un colpo di enorme portata per il più grande gruppo finanziario e postale del Paese.

Ma la prima regola in questi casi è: mai fermarsi all’annuncio.

L’analisi del database in vendita nel Dark Web

Infatti, analizzando il sample rilasciato dall’attaccante emergono elementi che raccontano una storia diversa, come evidenziato in un post da Andrea Draghetti, Cyber Threat Intelligence presso D3Lab.

Nel campione compaiono, tra gli altri, 16 indirizzi e-mail: incrociandoli con Hudson Rock, uno dei database di intelligence più completi sui malware-logs, 15 di questi risultano già presenti in compromissioni storiche.

Un dettaglio tutt’altro che marginale, perché suggerisce con forza un’ipotesi: non ci sarebbe stato un data breach diretto ai sistemi di Poste, bensì l’utilizzo di credenziali rubate tramite infostealer e successivamente sfruttate per automatizzare l’accesso ai conti online.

In pratica, il threat actor avrebbe impiegato coppie e-mail+password recuperate da dispositivi infetti da malware, testandole contro il portale di Poste. Una volta ottenuto l’accesso, avrebbe estratto le informazioni personali degli utenti legittimi – quelle stesse informazioni oggi messe in vendita.

Dunque, un “attacco” che sfrutta la debolezza delle abitudini degli utenti, spesso inclini a riutilizzare le stesse password su più servizi, e non quelle dei sistemi centrali di Poste Italiane.

La risposta ufficiale di Poste Italiane

Dal canto suo l’Azienda, da noi contatta telefonicamente e via e-mail, ha sgomberato il campo da equivoci rilascianto una nota stampa che riportiamo integralmente.

“Poste Italiane comunica che non si è verificata alcuna sottrazione, né trasferimento di dati dai sistemi informativi aziendali, e che l’operatività e la sicurezza dei servizi digitali aziendali non hanno subito compromissioni”, si legge nel comunicato.

Che continua: “In merito all’annuncio online in cui un soggetto afferma di essere in possesso delle credenziali di accesso di alcuni clienti del portale “Poste.it”, l’Azienda spiega che le credenziali in questione non risultano acquisite tramite una violazione dei sistemi aziendali e che sta collaborando con le Autorità competenti impegnate nelle indagini in corso”.

Il comunicato ufficiale di Poste Italiane si conclude ribadendo che “la sicurezza dei clienti è una priorità e invita gli utenti a non divulgare mai le proprie credenziali di accesso; a cambiare periodicamente la password e a non utilizzare le stesse credenziali per account e servizi diversi”.

In altre parole: i server centrali non sono stati toccati, l’operatività dei servizi digitali non ha subito compromissioni e la presunta fuga di dati sarebbe in realtà il risultato di una compromissione diffusa dei singoli utenti.

Cosa impariamo da quanto accaduto

Questa vicenda deve nuovamente far ragionare sui malware-logs, ossia i pacchetti di credenziali e sessioni raccolti dai computer infettati da stealer, siano oggi una delle fonti più sfruttate nel mercato nero.

E quanto la sicurezza percepita di una grande infrastruttura come quella di Poste Italiane possa essere minata non tanto dall’attacco diretto ai suoi sistemi, quanto dalla somma di migliaia di endpoint compromessi.

Per gli utenti finali cambiare regolarmente la password, evitare di riutilizzarla su più servizi e attivare meccanismi di autenticazione a due fattori non è un consiglio generico, ma l’unico argine reale contro attacchi di questo tipo.

Perché anche quando l’azienda dichiara che “i sistemi sono sicuri”, il punto debole rischia di rimanere sempre lo stesso: l’utente in carne e ossa e il suo dispositivo infettato.