Cerca nel blog

2014/01/01

Violati account di Enel, Eni e Saipem. Nomi, numeri di telefono, mail e relative password

Questo articolo vi arriva grazie alle gentili donazioni di “elibar*” e di “andrea.nov*”. L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2014/01/02.

Sono comparsi poche ore fa in Rete alcuni elenchi di account di mail appartenenti a Enel, Eni, Saipem e società collegate. Contengono nomi, cognomi, password, nick e numero di telefono degli utenti. Ne ho contattati alcuni: almeno uno risulta attinente ma obsoleto. In molti casi le password corrispondono al nome dell'azienda, a parolacce o al nome dell'utente, e non manca l'inevitabile parola “password” usata come password. Sicurezza, questa sconosciuta.

Se lavorate per queste società, sentite i vostri responsabili per la sicurezza. Chi avesse bisogno di dettagli può contattarmi alle mie coordinate pubbliche.


Aggiornamento (2014/01/02)


Ulteriori verifiche e informazioni indicano che le password legate agli indirizzi di mail elencati non sono quelle usate in abbinamento a quegli indirizzi presso Enel, Eni e Saipem, ma presso servizi esterni a queste aziende (social network e simili); quindi non sembra trattarsi di dati ottenuti violando i server di Enel / Eni / Saipem.

In altre parole, dei dipendenti di queste aziende avrebbero usato l'e-mail aziendale per registrarsi presso social network e altri servizi. Da un controllo a campione risulta che gli abbinamenti fra nomi e numeri di telefono sono validi.

Resta fondamentale il concetto che usare un indirizzo di mail aziendale e una password ovvia per iscriversi a un social network o altro servizio è un comportamento pericoloso che sarebbe ora di abbandonare.

6 commenti:

dandan ha detto...

Notizia dell'operazione di hacking da cui probabilmente provengono i dati.
http://espresso.repubblica.it/attualita/2013/10/29/news/eni-saipem-hackerata-da-anonymous-1.139330
http://operationgreenrights.blogspot.fr/2013/10/eneleniansaldo-you-have-been-hacked.html
Buon anno

sandman42 ha detto...

Scusa, non ho capito: le password sono di utenti enel intesi come dipendenti enel o clienti enel, come molti comuni cittadini (me compreso)?

Alessandro Bramucci ha detto...

"...raccoglie molte decine di account, di dati personali su dipendenti Saipem ed Eni: nomi, email, società di appartenenza, cognome, password, nickname, telefono."

Stepan Mussorgsky ha detto...

Refuso: "appartenent a Enel"

Replicante Cattivo ha detto...

Considerando che Eni ed Enel sono tra i più rinomati spammer e rompicocomeri attraverso telefonate promozionali dalla dubbia natura legale, la cosa non mi dispiace affatto.

Paolo Attivissimo ha detto...

Stepan,

refuso sistemato, grazie.


Sandman,

sono indirizzi di mail interni di Eni, Sapiem ed Enel (nomeutente@saipem.com, per esempio).