Un database relativo alla Pubblica Amministrazione italiana è stato pubblicato su forum underground, contenente oltre 32.000 email istituzionali e dati associati. Il leak, pubblicizzato da un attore malintenzionato di alto profilo, espone gli enti pubblici, le scuole e le forze dell’ordine. Il rischio principale è l'utilizzo di questi dati per specifici attacchi di "spear phishing" altamente mirati, capaci di sfruttare le informazioni trafugate per compromettere i sistemi interni e avviare campagne di intrusione su larga scala.
Un nuovo annuncio all’interno di un famoso forum underground è apparso recentemente.
Un utente del forum di alto profilo, ha messo in vendita un database contenente ben oltre 32.000 record contenenti indirizzi email appartenenti alla Pubblica Amministrazione (PA) italiana.
Il post, è stato pubblicato dalla user “Tanaka“, la quale descrive che è in possesso di un archivio composto da circa 62.123 righe totali, di cui 32.000 sono informazioni univoche. Da quanto abbiamo avuto modo di vedere, i dati sembrano essere recenti, con una data di riferimento fissata al 2 settembre 2025.
Advertising
L’analisi
Il criminale informatico ha fornito anche un “samples” contenente i dati per dimostrare la validità della merce rubata. Dall’analisi del sample, è emerso che i soggetti colpiti appartengono a diverse articolazioni dello stato italiano. I campi riportati nel samples sono:
Istituti scolastici (dirigenti e uffici amministrativi);
Capitanerie di Porto e infrastrutture di trasporto;
Forze dell’Ordine, nello specifico stazioni dell’Arma dei Carabinieri.
Altro ancora
Un elemento che desta preoccupazione è il profilo dell’autore del post. Tanaka non è un utente qualunque del forum underground, ma ricopre il ruolo di “Global Moderator” sul forum. Con oltre 1.100 post e un punteggio di reputazione molto elevato (superiore a 1.800). La sua posizione all’interno della comunità criminale suggerisce che i dati possano essere autentici e non frutto di vecchi “leak” riciclati.
L’annuncio scatena una immediata reazione nel forum criminale. In breve tempo, il thread è stato inondato da decine di messaggi di ringraziamento da parte degli altri membri della comunità. Molti utenti hanno risposto per sbloccare il contenuto offerto da Tanaka in modalità nascosta, a dimostrazione che i dati della PA italiana siano una merce ricercata per campagne di phishing mirato (spear-phishing), truffe via email oppure tentativi di ingegneria sociale.
Advertising
Esempio di attacco possibile
L’efficacia di un attacco di tipologia spear-phishing si basa su dei dati reali e risiede nella capacità del criminale di manipolare la fiducia della vittima attraverso la precisione delle informazioni fornite nell’email. Quando un malintenzionato utilizza il nome del responsabile, il codice IPA corretto e l’indirizzo reale, rende il messaggio “confidente” e non appartenente ad una potenziale minaccia di spam generico, assumendo le sembianze di una vera comunicazione istituzionale urgente, che può facilmente bypassare le barriere difensive psicologiche di un impiegato pubblico.
“Buongiorno, in qualità di referente dell’Istituto Comprensivo Anzio IV, si prega di prendere visione della documentazione allegata relativa alla sede di Via Marconi 7, in riferimento al protocollo tecnico associato al codice IPA TTM918273. Trattandosi di una comunicazione ufficiale inerente alla gestione amministrativa, è necessaria una vostra conferma di ricezione tramite l’apertura del file allegato.”
Quanti impegati ci cliccherebbero sopra?
Questo poiché la combinazione di dettagli corretti e linguaggio burocratico formale conferisce al messaggio una reale credibilità immediata. Una volta eseguito il malware, la postazione di lavoro sarà compromessa ed esfiltrare dati sensibili o trasformare il computer risulterà semplice da parte del criminale informatico, innescando un effetto domino sulla PA stessa.
Ipotesi sull’origine dei dati
Il venditore non specifica la fonte e la natura dei dati messi a disposizione della comunità underground: come ad esempio l’esfiltrazione da un portale centralizzato o da un fornitore di servizi IT della PA.
Potrebbero essere stati violati diversi uffici; ma è molto più plausibile che sia trattato di un accesso ad una anagrafica ttraverso una vulnerabilità di sicurezza su un sistema di gestione del personale, in una anagrafe nazionale o in una piattaforma di protocollo informatico utilizzata trasversalmente da diverse amministrazioni statali.
Un’altra ipotesi potrebbe essere una attività di “web scraping” massivo su database non adeguatamente protetti, sebbene la presenza di link social e dati privati suggerisca un arricchimento dei dati proveniente da diverse fonti interne.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.