La storia della Combolist degli utenti di Libero Mail comparsa su Telegram

Quando si parla di sicurezza informatica, andare con i classici piedi di piombo è una buona pratica da inseguire e perseguire. E il caso del down prolungato nel tempo dei due provider di posta elettronica gestiti da ItaliaOnline è l’esempio pratico per testare questo tipo di approccio. Da alcune ore, infatti, su Telegram – la nuova “variante” del darkweb – stanno circolando alcuni file in cui si fa riferimento a dati personali (username e password) di utenti legati al dominio mail di Libero. Alcuni di questi documenti contenevano anche il riferimento ai profili Twitter degli utenti (che, dunque, hanno utilizzato quell’indirizzo di posta elettronica per iscriversi alla piattaforma social). Tutto è comparso (nuovamente, e questo è un avverbio non usato a caso) proprio mentre si stavano attendendo le spiegazioni da parte dell’azienda. Perché in tanti hanno immediatamente pensato a un Libero Mail leak, ovvero a un furto di dati che ha provocato il disservizio.

LEGGI ANCHE > Libero, Virgilio e Outlook: la tripletta di disservizi (contemporanei) in pochi giorni

Telegram, è noto, nel corso del tempo è diventata una sponda feconda per i pirati informatici. Una sorta di canale di comunicazione per diffondere le loro “imprese”. Dunque, l’utilizzo di questa piattaforma per diffondere file contenenti dati sensibili trapelati potrebbe essere un indizio in favore della tesi (già smentita dall’azienda) dell’attacco hacker ai sistemi informatici di ItaliaOnline. Sia per quel che riguarda Libero, sia per quel che concerne Virgilio. E tra i primi a denunciare la comparsa in rete di questa combolist è stato il CyberSecurity Advisor e Cyber Intelligence Expert Pietro Di Maria.

Ovviamente – per evitare la morbosa curiosità da parte degli utenti -, Di Maria ha oscurato sia il nome del canale Telegram che tutti gli altri file messi in circolazione all’interno di quella pagina. Ma ha lasciato in evidenza quel documenti (.txt) contenente una combolist legata ai domini mail libero.it, con 500mila nomi utente e password. E un altro allarme, sempre sullo stesso tema, è stato lanciato da Christian Bernieri. Perché in alcune parti di quel documento ci sono dei riferimenti anche ai profili Twitter e, dunque, ci sono delle possibilità che le credenziali utilizzate per l’accesso alla mai di Libero (o Virgilio) e il social network siano le stesse.

Precisazione importante:
questo avviso riguarda chi usa la stessa password su vari sistemi come posta, siti di e-commerce, social, iscrizioni varie…

Sono al sicuro gli utenti che usano password differenti per ciascun servizio.

— Christian Bernieri – DPO (@prevenzione) January 26, 2023

Libero Mail leak, la storia dei dati pubblicati su Telegram

Si tratta dello stesso documento analizzato con attenzione da parte di RedHotCyber che ha ricostruito questa vicenda arrivando a una conclusione che potrebbe essere molto concreta: si tratterebbe di una speculazione. In che senso? Quel file è reale e contiene indirizzi mail e password. Ma non si tratterebbe di un Libero Mail leak recente.

Questi dati, infatti, farebbero parte di altri documenti relativi ad altri data breaches del passato. Buona parte dei dettagli inseriti in quel file .txt, dunque, è contenuto nell’elenco di dati trapelati (e già pubblicati nel darkweb negli scorsi anni) nel passato. E una conferma in questa direzione arriva anche dal Co-fondatore di OsintItalia Mattia Vincenzi che, rispondendo allo screenshot pubblicato da Pietro Di Maria, ha condiviso la sua ricerca (seppur parziale), confermando anche l’assunto di RedHotCyber: parte (ma non tutti) le corrispondenze user+mail presenti in quel documento erano già presenti in altri file che circolano da anni. Da quando?

Il furto di dati del 2016

Dare una datazione precisa alla comparsa nel darkweb di queste combolist non è semplice, ma nel 2016 il servizio di posta elettronica di LiberoMail subì un pesante attacco hacker. Era il mese di settembre e la conferma arrivò dallo stesso provider in una comunicazione inviata agli utenti in cui si raccomandava la modifica della password: «Ti informiamo che il sistema di sicurezza di Libero ha rilevato nei giorni scorsi un attacco informatico alla propria rete, con accesso al database che custodisce, in formato criptato, le password dei servizi». I pirati informatici, all’epoca, riuscirono a entrare in possesso di quasi 700mila username e password di cittadini italiani (una piccolissima parte di stranieri). Dati che, poi, finirono del darkweb. E quei dati potrebbero essere gli stessi che oggi sono tornati in auge (ma accade ciclicamente) su Telegram.