Poste Italiane: il caso credential stuffing
Nella notte del 16 settembre un post su un noto forum di scambio cybercriminale ha catalizzato parecchia attenzione con la proposta di vendita di un database da oltre un milione di informazioni attribuite a clienti di Poste Italiane.
Il considerevole archivio conterrebbe nomi, cognomi, codici fiscali, date di nascita, e-mail e password in chiaro.
Come già riportato da più esperti di settore e sembrerebbe confermato dalle stesse Poste Italiane, non saremmo però di fronte ad un caso data-breach.
Nessuna fuga dati, bensì apparirebbe un quadro meno drammatico e più istruttivo, che mette in luce una tecnica semplice ma spesso sottovalutata: il credential stuffing.
Dalle analisi del campione rilasciato dall’attaccante a comprova, gli esperti hanno notato che moltissimi indirizzi presenti nel file erano già comparsi in compromissioni pregresse, riscontrabili in database di malware-log.
Un dettaglio, che unito al diniego di compromissione da parte di Poste Italiane, cambierebbe profondamente la ricostruzione degli eventi.
L’origine del problema non andrebbe ricercata in una fuga dati direttamente dai server dell’istituto, ma piuttosto in un mosaico di device individuali compromessi e credenziali riciclate.
In pratica, gli hacker raccolgono coppie mail-password da dispositivi infettati da infostealer o da altri leak, e poi usano strumenti automatizzati per testarle su portali come quello di Poste.
Laddove l’utente abbia riutilizzato la stessa password, l’attaccante ottiene l’accesso e può estrarre informazioni personali da account legittimi.
Questi dati in vendita sarebbero quindi paradossalmente il risultato di un accesso automatizzato ai profili utente, non di una rottura del perimetro aziendale.
Dal punto di vista tecnico, il credential stuffing è un attacco a bassa complessità e basso costo per chi lo porta avanti, ma ad alta efficacia quando le abitudini degli utenti lo favoriscono.
Non richiede vulnerabilità zero-day né sofisticati exploit: basta una lista di credenziali e una infrastruttura di test automatizzato.
Il ruolo dei malware che estraggono credenziali sui dispositivi è cruciale: infostealer e form-grabber trasformano i computer e gli smartphone infetti in punti di raccolta, alimentando il mercato nero con pacchetti di account e sessioni.
La disponibilità di questi archivi rende il credential stuffing una minaccia pervasiva, perché può implicare la ripetizione di piccoli attacchi riusciti, uno dopo l’altro.
C’è però un elemento meno tecnico e più psicologico che vale la pena considerare: spesso si tende a sottovalutare il potere combinato di abitudine e pigrizia digitale.
Usare la stessa password per più servizi, scegliere parole semplici o ignorare l’attivazione di un secondo fattore di autenticazione non sono scelte che rivelano incompetenza tecnica, ma piuttosto lassismo cognitivo e comportamentale.
La comodità di non ricordare mille credenziali, la fiducia che «a me non succederà», la scarsa percezione del valore dei propri dati personali sono fattori che rendono il credential stuffing redditizio.
In altre parole, la tecnica non prospera perché è brillante, ma perché sfrutta una fragilità quotidiana e diffusa: l’umanità dietro le interfacce, in particolare quella italiana.
Questo dovrebbe cambiare il modo in cui parliamo di sicurezza.
Non si tratta soltanto di proteggere server o di dimostrare che l’infrastruttura centrale sia intatta ma di riconoscere che la vera superficie d’attacco sia la somma degli endpoint, delle password riutilizzate e delle cattive abitudini.
A livello tecnico l’autenticazione a più fattori riduce drammaticamente il successo del credential stuffing perché, anche in presenza di password corrette, l’attaccante non ha la seconda chiave. Sistemi di rate limiting, blocco automatico dopo tentativi ripetuti, CAPTCHA efficaci e controlli di geolocalizzazione o di fingerprinting del browser possono mitigare rapidamente le campagne di test automatizzati.
Sul fronte di rilevamento, la correlazione di log e alert provenienti da tentativi di login falliti, successi anomali e attività di scraping sugli account è la chiave per identificare e bloccare ondate di credential stuffing prima che producano danni estesi.
Ma le contromisure tecniche non bastano se non sono accompagnate da una prospettiva umana. Educare gli utenti al valore dei propri dati, spiegarne concretamente i rischi, semplificare l’uso di password manager e rendere l’attivazione della MFA un processo facile e quasi automatico sono passi altrettanto importanti.
Bisognerebbe facilitare comportamenti sicuri nel privato e nell’aziendale piuttosto che affidarsi al puro buon senso degli utenti: corsi di sensibilizzazione, interfacce che guidano al settaggio di protezioni, notifiche chiare in caso di accessi sospetti, e percorsi di recovery semplici potrebbero forse diminuire la resistenza al cambiamento.
Infine, questa vicenda ricorda che il valore dei dati personali è reale e tangibile: nomi, codici fiscali, date di nascita e credenziali non sono semplici stringhe, ma chiavi che permettono accessi, frodi, ricatti, usi illeciti e movimento verso altri bersagli più appetibili.
Per questo, quando si parla di sicurezza non basta più pensare in termini di difesa del perimetro.
Occorre costruire una catena di resilienza che parta dall’utente, attraversi i dispositivi e arrivi alle politiche aziendali.
Il credential stuffing, pur essendo una tecnica tecnica apparentemente banale, prospera proprio dove manca questa catena.
Ed in quest’ottica, acquista valore ed importanza anche la sicurezza della mail della nonna..
#credentialstuffing #databreach #cybersecurity #posteitaliane
