Il 29 luglio 2025 il gruppo criminale noto come WorldLeaks (precedentemente Hunters International) ha portato a termine un attacco ransomware nei confronti di ACEA, uno dei principali operatori italiani nei settori energetico e idrico. Il collettivo ha diffuso circa 2,9 terabyte di dati riservati sul dark web, incluse informazioni amministrative, password, credenziali d’accesso e dettagli operativi sensibili. Nonostante la gravità dell’evento, ACEA ha prontamente messo in sicurezza le infrastrutture IT e rassicurato che la fornitura di acqua ed energia non è stata interrotta. Al momento non risultano compromissioni dirette dei dati personali, anche se le analisi sono ancora in corso.
La chiave ad attacchi informatici più sofisticati
Anche senza un coinvolgimento diretto dei dati personali, la fuga di informazioni su fornitori e processi interni espone ACEA a rischi ulteriori, nonché gli utenti in qualche modo legati alla piattaforma. I malintenzionati potrebbero infatti utilizzare questi dati per orchestrare phishing mirati o attacchi di ingegneria sociale (come ad esempio attacchi di spear phishing), sia nei confronti dei consumatori sia del personale.
A questo proposito, è fondamentale adottare alcuni comportamenti di protezione. Innanzitutto, è utile mantenersi aggiornati tramite canali ufficiali: le istituzioni come il Garante per la Privacy o l’AGCM possono fornire alert tempestivi. Altro passaggio essenziale: non utilizzare le stesse password tra diversi servizi e, ove possibile, attivare l’autenticazione a due fattori (2FA). Se si sospetta una truffa, conviene non fornire informazioni via email, SMS o chiamata che sembrino provenire da ACEA. Conservare screenshot, email o SMS sospetti può essere utile in eventuali contestazioni. Se si ritiene di essere coinvolti o di aver subito una violazione, è consigliabile rivolgersi a professionisti del settore, in particolare a esperti in informatica forense oppure ad un legale specializzato in privacy.
Password Spraying e credential stuffing
Attacchi di questo tipo portano dietro anche tecniche di attacco estremamente subdole. Tra tutte, il password spraying è la più nota ed utilizzata dagli attaccanti. Trattasi, questa, di una tecnica di attacco informatico che si distingue dal classico brute force, anche se molto simile: invece di provare moltissime password su un singolo account fino a bloccarlo, l’attaccante utilizza una o poche password comuni (ad esempio 123456, qwerty, password!) e le testa in sequenza su un vasto numero di account appartenenti a un’organizzazione. Così facendo, l’attaccante riduce il rischio di generare allarmi di sicurezza o blocchi per tentativi falliti e aumenta la probabilità di successo, sfruttando la cattiva abitudine degli utenti di scegliere credenziali deboli o riciclate. Il legame con i data breach è diretto: ogni volta che enormi archivi di credenziali rubate finiscono online, queste informazioni alimentano nuove campagne di password spraying, poiché forniscono agli attaccanti liste aggiornate di indirizzi email e nomi utente da colpire.
Non a caso, secondo i dati del Verizon Data Breach Investigations Report 2024, gli attacchi legati alle credenziali compromesse rappresentano ancora una delle cause principali delle violazioni di sicurezza nelle aziende.
Ma non solo: i data breach portano con sé anche un ulteriore attacco: il credential stuffing. Questo è una tecnica di attacco informatico che sfrutta in modo diretto i dati provenienti dai data breach. Quando le credenziali (email, username e password) rubate in precedenti violazioni vengono rese pubbliche o vendute nel dark web, diventano materiale prezioso per gli attaccanti. Questi, attraverso strumenti automatizzati, provano le combinazioni sottratte su diversi servizi online, con l’obiettivo di ottenere accessi non autorizzati. Il principio su cui si fonda il credential stuffing è semplice: la maggior parte degli utenti tende a riutilizzare la stessa password su più piattaforme (social network, email, servizi bancari, e-commerce), e questo comportamento apre le porte a compromissioni su larga scala.
Diversamente dal brute force tradizionale, che tenta tutte le possibili combinazioni di caratteri, il credential stuffing lavora su elenchi già pronti di credenziali reali. Questo rende l’attacco veloce, silenzioso e spesso molto efficace, specialmente quando viene distribuito su ampie botnet che permettono di mascherare la provenienza dei tentativi ed evitare blocchi di sicurezza.
La verifica dei data breach
Per contrastare la diffusione dei propri dati a causa di data breach/data leak, esistono alcuni servizi da poter utilizzare. Uno dei servizi più conosciuti è Have I Been Pwned (HIBP), che consente di verificare se un indirizzo email o una password è stato esposto in un data breach. Inserendo il proprio indirizzo nella piattaforma, è possibile ottenere un report sulle violazioni note e attivare notifiche automatiche in caso di nuove esposizioni. Questo sistema raccoglie e organizza dati provenienti da centinaia di archivi compromessi e si è affermato come punto di riferimento per la protezione della privacy online.
Accanto a HIBP esistono altri servizi che offrono funzionalità aggiuntive. DeHashed, ad esempio, permette di effettuare ricerche più estese, includendo non solo email e username, ma anche indirizzi IP, numeri di telefono e altri identificatori, con notifiche in tempo reale. Mozilla Monitor, basato sugli stessi principi, consente agli utenti di verificare le esposizioni e offre piani che aiutano a rimuovere i dati personali da broker online. Per le aziende, strumenti come SpyCloud o Enzoic garantiscono un monitoraggio continuo del dark web e delle credenziali aziendali, fornendo avvisi tempestivi e integrazioni con i sistemi di sicurezza interni. Infine, piattaforme più recenti come DataBreach.com ampliano la protezione, consentendo di controllare non solo le credenziali, ma anche dati sensibili come indirizzi, numeri di telefono e codici fiscali.
