Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/poste-italiane-dati-di-milioni-di-utenti-spuntano-sul-dark-web-ma-l-azienda-nega-il-maxi-attacco_143596.html

Sul dark web circolano presunti database con milioni di credenziali collegate a Poste.it. L'allarme arriva da esperti di cybersicurezza, ma Poste Italiane assicura: nessuna violazione dei propri sistemi

Click sul link per visualizzare la notizia.

ma Poste Italiane assicura, nessuna violazione dei propri sistemi:
li abbiamo venduti:D

Per chi ha un account di Poste, davvero nell'Area Personale appaiono TUTTI i seguenti:

nome, cognome, codice fiscale, data di nascita, indirizzo email, password in chiaro e numero di telefono

?

Se negano, meritano la denuncia per violazione GDPR

come fanno ad avere le pwd in chiaro se le aziende devono (secondo gdpr) averle nel db già cifrate (e magari pure con salt)?

come fanno ad avere le pwd in chiaro se le aziende devono (secondo gdpr) averle nel db già cifrate (e magari pure con salt)?
Perché, come scritto, probabilmente non provengono dal database delle Poste.
Sono dati raccolti in altro modo (malware, phishing, ecc...)

Perché, come scritto, probabilmente non provengono dal database delle Poste.
Sono dati raccolti in altro modo (malware, phishing, ecc...)

Possibile.. ma raccattarne addirittura un milione con questo sistema mi pare troppo.. poi boh.

Racconto la mia storia di 3 anni fa
Avevo Acquistato una Postepay ricaricabile in ufficio postale con contestuale ricarica al momento della consegna
Rimase in busta chiusa e sigillata nel cassetto ma potevo controllare il saldo via app
Premetto che dovevo regalarla e non l'avevo mai usata su nessun sito per cui non capisco come la trovai dimezzata con microtrasazioni da 5 euro in poche ore
Ho fatto richiesta e dopo alcuni mesi mi rimborsarono tutto , da quel giorno mai più postepay

Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/poste-italiane-dati-di-milioni-di-utenti-spuntano-sul-dark-web-ma-l-azienda-nega-il-maxi-attacco_143596.html
Sul dark web circolano presunti database con milioni di credenziali collegate a Poste.it. L'allarme arriva da esperti di cybersicurezza, ma Poste Italiane assicura: nessuna violazione dei propri sistemi
Click sul link per visualizzare la notizia.

Secondo Draghetti, la provenienza dei dati non sarebbe riconducibile a un attacco diretto ai sistemi centrali di Poste Italiane, bensì a malware logs raccolti da dispositivi infettati


Vedo che molti commentatori non sono capaci di passare dal titolo alla lettura dell'articolo.

Come è chiaramente detto, i dati non sono stati acquisiti dai server di Poste. Ma l'ansia di mostrarsi come quelli che sanno ha spinto diversi individui a pontificare di cose che evidentemente non sanno.

Per favore, imparate a leggere prima di scrivere.

Racconto la mia storia di 3 anni fa
Avevo Acquistato una Postepay ricaricabile in ufficio postale con contestuale ricarica al momento della consegna
Rimase in busta chiusa e sigillata nel cassetto ma potevo controllare il saldo via app
Premetto che dovevo regalarla e non l'avevo mai usata su nessun sito per cui non capisco come la trovai dimezzata con microtrasazioni da 5 euro in poche ore
Ho fatto richiesta e dopo alcuni mesi mi rimborsarono tutto , da quel giorno mai più postepay

L'anno scorso a mia moglie qualche dipendente delle poste ha rubato la nuova carta libretto che doveva essere consegnata nel mese della scadenza della vecchia, essendo in possesso di tutti i suoi dati e chiamando con l'identificativo delle Poste Italiane è riuscito ahimè a farsi dare il pin e a prelevare 600€.
a seguito della denuncia ai carabinieri le poste hanno riconosciuto una responsabilità parziale, concedendo un rimborso di 300€.
ho immediatamente trasferito il saldo del c.c.p. e l'accredito dello stipendio su un altro conto (BBVA), e alle poste lascio quanto basta per pagare le fatture telepass (perchè non posso fare altrimenti).
Poste Italiane deve morire, non fanno bene niente, nè la banca, nè il corriere, nè l'operatore telefonico...

Racconto la mia storia di 3 anni fa
Avevo Acquistato una Postepay ricaricabile in ufficio postale con contestuale ricarica al momento della consegna
Rimase in busta chiusa e sigillata nel cassetto ma potevo controllare il saldo via app
Premetto che dovevo regalarla e non l'avevo mai usata su nessun sito per cui non capisco come la trovai dimezzata con microtrasazioni da 5 euro in poche ore
Ho fatto richiesta e dopo alcuni mesi mi rimborsarono tutto , da quel giorno mai più postepay
IDEM ! è successo a maggio.
Postepay ricevuta a casa (era la sostituzione di una in scadenza)
mai usata nè su internet, nè nei negozi
Raffica di microtransazioni da 5 euro
Fatto richiesta, e rimborsato il giorno dopo (non come te dopo mesi)

per evitare il problema basta tenere disattivato l'uso su internet, e attivarlo alla bisogna....

però allora meglio usare il contante :asd:

ripensandoci...
se a te è successo 3 anni fa, e a me 3 mesi fa,
significa che il sistema va avanti da tanto tempo, è ben collaudato, e Posteitaliane lo sa e se ne sbatte altamente il belino ? :mbe:

Vedo che molti commentatori non sono capaci di passare dal titolo alla lettura dell'articolo.
...
Ma l'ansia di mostrarsi come quelli che sanno ha spinto diversi individui a pontificare di cose che evidentemente non sanno.

Per favore, imparate a leggere prima di scrivere.

Problema purtroppo ENORMEMENTE diffuso su questo forum...

... Come è chiaramente detto, i dati non sono stati acquisiti dai server di Poste. ... .

Ok, cerchiamo un' altra fonte (mie le sottolineature):

da https://edunews24.it/tecnologia/allarme-sul-dark-web-dati-di-milioni-di-utenti-poste-italiane-in-vendita-lazienda-ne-ga-la-violazione

L’analisi di Andrea Draghetti: ... La sua indagine, diffusa pubblicamente su LinkedIn, ha segnalato (...)

il database effettivamente contiene informazioni realistiche e riconducibili ad utenti italiani, molti dei quali attivi su Poste.it o servizi collegati.

(...)
Non è provato che la provenienza sia direttamente dai sistemi di Poste Italiane

Ti invito a considerare attentamente la differenza tra "non è provato" e "non è successo".

Quanto alle autocertificazioni di Poste (a Roma si dice: Oste, er vino è bono? ) sappiamo cosa farcene.

Possibile.. ma raccattarne addirittura un milione con questo sistema mi pare troppo.. poi boh.
L'ho pensato anch'io... Non so quanti siano gli utenti totali, ma fregarne un milione mi sembra tanto...
Ok, cerchiamo un' altra fonte (mie le sottolineature):

da https://edunews24.it/tecnologia/allarme-sul-dark-web-dati-di-milioni-di-utenti-poste-italiane-in-vendita-lazienda-ne-ga-la-violazione



Ti invito a considerare attentamente la differenza tra "non è provato" e "non è successo".

Quanto alle autocertificazioni di Poste (a Roma si dice: Oste, er vino è bono? ) sappiamo cosa farcene.
Certo, non è provato, e le dichiarazioni di Poste sappiamo che affidabilità hanno...
Però, se così fosse, sarebbe una gravissima violazione del GDPR (il discorso password in chiaro), e non credo sia possibile...

se io fossi uno che vuole vendere dati farei il furbo e riempirei un database di dati falsi poi con un malware qualunque tiro fuori 16 nomi e password di qualche sfortunato per avere credibilità...pagamento in bitcoin e ciao

Sul profilo utente dell' account Poste il numero di telefono non appare...

...a meno che non si usi il telefono stesso per "confermare" la richiesta!

... trovo invece inquietante che il "secondo livello di autorizzazione" (telefonino) venga richiesto solo per l'accesso al conto (o alla postepay) e che, quindi, molti dati personali siano visibili grazie alla sola password.