Luca Stivali : 25 Agosto 2025 08:25
A cura di Luca Stivali, Roland Kapidani e Silvia Felici.
Negli ultimi giorni si è acceso un dibattito attorno alla fuga di dati che ha coinvolto numerose strutture alberghiere italiane. Ne abbiamo già parlato su Red Hot Cyber, ma le evoluzioni non si sono fatte attendere.
Dopo la pubblicazione del nostro articolo, la redazione è stata contattata da un servizio IT di una delle strutture colpite: da quel confronto sono emerse conferme importanti e nuove informazioni che ci hanno permesso di condurre attività di Cyber Threat Intelligence (CTI) e di ricostruire meglio la dinamica degli eventi.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Fin dall’inizio avevamo ipotizzato che l’esfiltrazione dei documenti non fosse legata ai sistemi interni dei singoli hotel, ma piuttosto a un servizio SaaS centralizzato.
Questa ipotesi si è rivelata fondata:
Dalle nostre analisi emerge con forte probabilità che l’attacco non sia partito da sofisticati exploit, ma da campagne mirate di phishing: email ben confezionate, spesso camuffate da conferme di prenotazioni o arrivi imminenti, hanno indotto il personale a scaricare ed eseguire file malevoli.
Da lì, gli infostealer hanno fatto il resto: raccolta delle credenziali, esfiltrazione e successiva vendita nei marketplace underground.
C’è però un ulteriore elemento che complica la vicenda. Tra le credenziali circolanti nel dark web non figurano soltanto account appartenenti agli hotel clienti, ma anche un utente riconducibile al personale IT della piattaforma SaaS stessa.
Se confermato, questo significherebbe che gli attaccanti avrebbero potuto disporre non solo di accessi operativi dei clienti, ma anche di credenziali interne, con potenziali privilegi ben più estesi. Uno scenario che apre interrogativi inquietanti sul livello di sicurezza complessivo dell’infrastruttura.
Un ulteriore punto critico riguarda la sicurezza degli accessi: dalle informazioni raccolte sembra che misure come l’autenticazione a due fattori siano disponibili solo per i pannelli di gestione più avanzati, ma non per l’interfaccia operativa utilizzata quotidianamente dal personale.
Si tratta di un limite che, se confermato, renderebbe ancora più semplice per un attaccante sfruttare credenziali rubate senza dover superare ulteriori barriere di sicurezza.
Questa vicenda conferma ciò che in molti già sospettavano: il vero tallone d’Achille oggi non sono i sistemi, ma le persone e le loro credenziali:
Questa vicenda è l’ennesima conferma che la cybersicurezza non può limitarsi alla tecnologia: antivirus, EDR/XDR, firewall e buone pratiche restano fondamentali, ma da soli non bastano.
Serve anche un’attività costante di intelligence, capace di monitorare i marketplace del dark web, intercettare le credenziali rubate e fornire segnali di allarme prima che diventino veri e propri incidenti.
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...