Questo articolo vi arriva grazie alla gentile donazione di “elibar*” e “andrea.nov*”.

Sono comparsi poche ore fa in Rete alcuni elenchi di account di mail appartenenti a Enel, Eni, Saipem e società collegate. Contengono nomi, cognomi, password, nick e numero di telefono degli utenti. Ne ho contattati alcuni: almeno uno risulta attinente ma obsoleto. In molti casi le password corrispondono al nome dell'azienda, a parolacce o al nome dell'utente, e non manca l'inevitabile parola “password” usata come password. Sicurezza, questa sconosciuta.

Se lavorate per queste società, sentite i vostri responsabili per la sicurezza. Chi avesse bisogno di dettagli può contattarmi alle mie coordinate pubbliche.

Aggiornamento (2014/01/02)

Ulteriori verifiche e informazioni indicano che le password legate agli indirizzi di mail elencati non sono quelle usate in abbinamento a quegli indirizzi presso Enel, Eni e Saipem, ma presso servizi esterni a queste aziende (social network e simili); quindi non sembra trattarsi di dati ottenuti violando i server di Enel / Eni / Saipem.

In altre parole, dei dipendenti di queste aziende avrebbero usato l'e-mail aziendale per registrarsi presso social network e altri servizi. Da un controllo a campione risulta che gli abbinamenti fra nomi e numeri di telefono sono validi.

Resta fondamentale il concetto che usare un indirizzo di mail aziendale e una password ovvia per iscriversi a un social network o altro servizio è un comportamento pericoloso che sarebbe ora di abbandonare.