Cerca nel blog

2014/01/01

Violati account di Enel, Eni e Saipem. Nomi, numeri di telefono, mail e relative password

Questo articolo vi arriva grazie alle gentili donazioni di “elibar*” e di “andrea.nov*”. L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2014/01/02.

Sono comparsi poche ore fa in Rete alcuni elenchi di account di mail appartenenti a Enel, Eni, Saipem e società collegate. Contengono nomi, cognomi, password, nick e numero di telefono degli utenti. Ne ho contattati alcuni: almeno uno risulta attinente ma obsoleto. In molti casi le password corrispondono al nome dell'azienda, a parolacce o al nome dell'utente, e non manca l'inevitabile parola “password” usata come password. Sicurezza, questa sconosciuta.

Se lavorate per queste società, sentite i vostri responsabili per la sicurezza. Chi avesse bisogno di dettagli può contattarmi alle mie coordinate pubbliche.


Aggiornamento (2014/01/02)


Ulteriori verifiche e informazioni indicano che le password legate agli indirizzi di mail elencati non sono quelle usate in abbinamento a quegli indirizzi presso Enel, Eni e Saipem, ma presso servizi esterni a queste aziende (social network e simili); quindi non sembra trattarsi di dati ottenuti violando i server di Enel / Eni / Saipem.

In altre parole, dei dipendenti di queste aziende avrebbero usato l'e-mail aziendale per registrarsi presso social network e altri servizi. Da un controllo a campione risulta che gli abbinamenti fra nomi e numeri di telefono sono validi.

Resta fondamentale il concetto che usare un indirizzo di mail aziendale e una password ovvia per iscriversi a un social network o altro servizio è un comportamento pericoloso che sarebbe ora di abbandonare.

Nessun commento: