Il provider italiano di posta elettronica Email.it ha subito una violazione dei sistemi informatici: un gruppo di cyber attaccanti, che si auto definisce NoName Hacking Group, ha sottratto le informazioni relative a circa 600.000 account email e li ha messi in vendita nel dark web. La violazione dei sistemi è stata confermata dall'email service provider stesso.

Tentativo di estorsione fallito
Email.it ha scoperto di aver subito la violazione soltanto Domenica, quando gli attaccanti hanno pubblicato un Tweet che pubblicizzava un sito web nel dark web dove si trovano in vendita i dati sottratti. Nel tweet NN hacking Group scriveva:

"Abbiamo fatto irruzione nei datacenter di Email.it più di due anni fa e ci siamo "stabiliti" come APT (Advanced persistent threat"). Abbiamo preso più dati sensibili possibili dai loro server, poi abbiamo deciso di dare loro l'opportunità di tappare la loro falla in cambio di una piccola ricompensa. Hanno però rifiutato di parlare con noi e hanno continuato a prendere in giro i loro clienti / utenti. Non hanno avvisato gli utenti dopo il data breach".

Da email.it confermano il tentativo di ricatto, specificando che l'azienda si è rifiutata di pagare gli attaccanti e ha segnalato l'evento alla Polizia Postale.

I dati in vendita
Fallito il tentativo di estorsione, arriva la decisione da parte di NN Hacking Group di mettere in vendita i dati: i prezzi variano tra 0.5 e 3 Bitcoin (tra 3.300 e 20.200 euro)

La rivista online specializzata ZDNet ha analizzato i dati in vendita, scoprendo che sono ben 46 i database sottratti dai sistemi di Email.it.

Questi contengono password in chiaro, domanda di sicurezza, contenuti delle email, allegati email transitati sul servizio email tra il 2007 e il 2020.

Gli attaccanti spiegano anche di avere intercettato tutti gli SMS inviati tranite il servizio di invio SMS di Email.it, ma anche di essere riusciti ad esfiltrate il codice sorgente di tutte le web app di Email.it, compreso il lato admin e utente delle applicazioni.

Email.it non ha contestato, ad ora, la versione fornita dagli attaccanti, specificando solo che non risultano compromesse le informazioni finanziarie, dato che i server attaccati contenevano solo informazioni aministrative. Anche i clienti Business, fanno sapere, non hanno subito alcun breach, dato che nei server attaccanti non vi erano informazioni relative a utenti paganti. Fanno però sapere di aver individuato la vulnerabiltà e patchato immediatamente i server.