Allarme: migliaia di siti italiani a rischio! 526.000 siti e 6.500 db in vendita nel Darkweb

Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso.

Nelle ultime ore è apparso su un forum underground un nuovo thread dal titolo inequivocabile: “Italin hosting service sites – 9 more 40 servers – 526193 site’s backup – 4631 hosting customer – 6546 MySQL db’s”.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’autore del post, che utilizza il nickname 010010, è un utente storico della piattaforma (attivo dal 2018) e offre in vendita per 1.000 $ in TRC20 un intero dump di dati provenienti – a suo dire – da infrastrutture di hosting italiani

Le schermate pubblicate a corredo del post mostrano chiaramente:

• Un dump SQL di grandi dimensioni (1,33 GB) contenente 16 file, nominati in modo riconducibile a diversi ambienti o clienti;
• Accesso completo ai database MySQL, con tanto di tabella t_payservice_mysql contenente username e password in chiaro di oltre 6.500 istanze;
• Account clienti e codici utente, potenzialmente appartenenti a reseller o a clienti finali di società di web hosting italiane.

Un dettaglio non trascurabile è la promessa dell’autore: “I will give the phpmyadmin mysql root password”, segno che l’accesso non si limita ai dati ma si estende all’intero sistema di gestione.

OSINT: chi è il venditore? Profilo preliminare “010010”

Abbiamo condotto un’analisi OSINT preliminare sulle evidenze pubblicate. I punti salienti:

• Nick dell’attore: 010010. È un nickname binario, breve, e con forte valenza “technic/hacker” — scelta non casuale per un venditore di dati. L’account sul forum è attivo dal 2018, con reazioni e credenziali che denotano una reputazione consolidata (non è un profilo usa-e-getta).
• Contatto e monetizzazione: l’annuncio chiede 1000$ in USDT TRC20 e punta l’interesse su compratori “tecnici” (es. “people who know how to use the hosting panel”). Il contatto è un handle Telegram obfuscato — pattern tipico per eludere moderazione e dorks.
• Screenshot: uno degli screenshot mostra la finestra di Explorer in lingua turca (etichette come Tür, Boyut, Tamam), e nella barra appare il nome stanislav karacetin con profile path C:\Users\stani\Documents\hostingdatabase. Questo fornisce due indizi concreti: il dump è stato aggregato e salvato su una macchina con OS impostato in turco, e l’autore dello screenshot (o il proprietario della macchina che ha generato i file) è identificabile come “stanislav / stani” a livello di profilo locale.
• Temporalità: i file riportano timestamp del 14/10/2025 fra le 10:44 e le 11:27, compatibili con la finestra temporale della pubblicazione.

Ipotesi di lavoro (high-level): il venditore è verosimilmente un operatore tecnico, potenzialmente attivo dall’area turcofona o in possesso di una macchina configurata in lingua turca. Il comportamento (nick binario, monetizzazione in TRC20, contatto Telegram obfuscato) è coerente con vendor dell’area TR / Est Europa attivi nei mercati di credenziali e database.

Un caso che evidenzia la fragilità dell’hosting condiviso

Sebbene non siano stati ancora identificati i provider coinvolti, le evidenze tecniche mostrano un pattern tipico delle infrastrutture di web hosting condiviso italiane: database nominati “clienti_nomeaziendaXX”, riferimenti a domini multipli e tabelle replicate per centinaia di utenti.

Questa tipologia di compromissione è spesso il risultato di:

• pannelli di amministrazione esposti (cPanel, Plesk, DirectAdmin) con credenziali deboli o riutilizzate;
• vulnerabilità note in CMS o web application ospitate (WordPress, Joomla, PrestaShop);
• scarsa segmentazione tra clienti, che permette a un singolo accesso di propagarsi a tutto il nodo.

Un rischio concreto per migliaia di siti e aziende italiane

Se i dati in vendita dovessero essere autentici, l’impatto sarebbe significativo: i database mostrati contengono account clienti, password, codici dominio e backup completi dei siti.
Informazioni di questo tipo possono essere utilizzate per:

• furti d’identità digitale e clonazione di siti web legittimi;
• accessi non autorizzati ai pannelli di amministrazione;
• infezioni mirate tramite supply chain (iniezione di backdoor o malware nei CMS);
• attacchi secondari verso i clienti dei provider coinvolti.

Ancora una volta, i forum underground confermano la loro funzione di mercato parallelo delle infrastrutture compromesse, dove dump SQL, accessi RDP e pannelli Plesk vengono venduti a peso d’oro.
Nel caso odierno, la matrice italiana del materiale rappresenta un ulteriore campanello d’allarme per un settore – quello dell’hosting condiviso – che continua a soffrire di una cronica mancanza di segmentazione e hardening.

Come spesso accade in questi contesti, il valore economico richiesto (appena 1.000 $) è inversamente proporzionale al rischio potenziale per le migliaia di aziende e professionisti che potrebbero trovarsi esposti.

Red Hot Cyber continuerà a monitorare la diffusione di questo dump e l’eventuale correlazione con provider noti sul territorio italiano. Per ora, resta l’ennesimo monito su quanto fragile possa essere la sicurezza “a monte” di chi ospita ogni giorno migliaia di siti web.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Stivali

Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione