Nelle scorse ore, ha destato non poco panico tra gli internauti la notizia di quanto accaduto ad Email.it, un noto servizio di posta elettronica in passato utilizzato in tandem con lo store online Dmail, ma da tempo affrancatosi dallo stesso, che ha subito un consistente attacco hacker, in ragione del quale i dati di 600 mila utenti, alcuni dei quali conservati online in bella vista, sono finiti in vendita nei mercatini del web oscuro.
Secondo il post pubblicato (in italiano) dalla crew dell’NN Hacking Group, l’attacco ai server di Email.it sarebbe avvenuto nel 2017, concatenando varie tecniche, tra cui escalation di privilegi, code execution, SQL Injection, ed avrebbe permesso di sottrarre ogni sorta di dati sensibili.
Nello specifico, dei 600 mila utenti coinvolti sarebbero presenti nomi utenti e password, conservati in chiaro, missive ed allegati per ciascuno di essi, i Fax e gli SMS che si appoggiavano alla casella email, le domande di sicurezza cruciali per acquisire il controllo dell’account, ma non i dati finanziari che, a quanto pare, non erano backuppati sugli stessi server violati.
Il tutto, aggiornato all’anno corrente, a seguito del rifiuto di Email.it di pagare una “ricompensa” agli hacker per farsi rivelare le falle sfruttate e farsi aiutare nel mettere in sicurezza la piattaforma, sarebbe stato pacchettizzato in 44 database messi in vendita nel dark web, con diverse offerte, tra cui il costoso dump con le mail, i Fax e gli SMS, venduto a pressappoco 22 mila dollari (3 BitCoin), e quello light, prezzato a 3.500 dollari (0.5 BitCoin), focalizzato sulla credenziali complete di accesso.
Ad oggi, Email.it ha ammesso di aver subito l’attacco, e di aver provveduto a sanare le falle usate dagli hacker, mettendo in sicurezza i server violati dagli stessi (che, tra l’altro, assicurano di avere anche il codice sorgente delle web app della piattaforma): in più, si è proceduto a sporgere denuncia presso la polizia postale, ed a mettere al corrente – come da prassi (entro 72 ore dalla scoperta) – il garante per la privacy.