Un nuovo allarme per la sicurezza informatica italiana: su DarkForums è apparso un dump di credenziali FTP in chiaro, con 196 siti italiani esposti. Tra le vittime figurano scuole, PMI, enti pubblici e piattaforme e-commerce. Le password, molte delle quali aggiornate al 2024, risultano ancora attive e aprono la porta a defacement, furti di dati e malware.
Il dataset, pubblicato da un utente con il nickname Hackfut, è stato diffuso in un thread intitolato “FRESH FTP LEAK”. Nel campione analizzato, oltre il 75% delle credenziali riguarda domini italiani, con indirizzi, username e password accessibili in chiaro. Secondo gli analisti, il dump è solo una parte di un archivio più ampio, distribuito privatamente tramite canali Telegram.
Le conseguenze di un’esposizione di credenziali FTP non sono affatto teoriche. Con username e password in chiaro, un attaccante può collegarsi direttamente ai server e intervenire senza ostacoli. Questo significa, ad esempio, poter modificare le pagine del sito (defacement) per diffondere messaggi ingannevoli o dannosi. Ancora più pericoloso è l’inserimento di file malevoli, che trasformano il portale in un veicolo di malware o campagne di phishing, con gravi ricadute sugli utenti finali.
Non va sottovalutato, inoltre, il rischio di furto di dati sensibili, che potrebbe sfociare in violazioni del GDPR e conseguenti sanzioni. Infine, c’è la questione reputazionale: per un e-commerce, un portale turistico o un servizio pubblico, un incidente di questo tipo può erodere rapidamente la fiducia dei clienti e compromettere in modo duraturo l’immagine del brand.
Alla base di questo tipo di esposizioni ci sono pratiche ormai superate ma ancora molto diffuse. L’utilizzo di FTP non cifrato, ad esempio, trasmette credenziali in chiaro e rende banale intercettarle. A questo si aggiungono password deboli o mai aggiornate, che diventano un bersaglio facile per attacchi di forza bruta o credenziali già note da vecchi leak. Un ulteriore punto critico è la scarsa diffusione di sistemi di autenticazione forte (come 2FA o accesso limitato per IP), che potrebbero ridurre drasticamente il rischio di compromissione. Infine, molti servizi di hosting condiviso non applicano restrizioni di sicurezza avanzate: in questi ambienti una sola vulnerabilità può spalancare la porta a interi gruppi di siti, semplificando enormemente il compito degli attaccanti.
Non esistono soluzioni lampo o patch universali in grado di risolvere questo tipo di problema: la protezione passa da una serie di accorgimenti pratici e immediati. Prima di tutto è indispensabile procedere al reset di tutte le credenziali FTP, accompagnato da una rotazione periodica delle password per ridurre la possibilità di abusi futuri. Allo stesso tempo è necessario abbandonare l’FTP tradizionale a favore di protocolli sicuri come SFTP o FTPS, disattivando definitivamente quello in chiaro.
Un altro passo importante riguarda il controllo approfondito dei file core del CMS: cartelle come
wp-content, plugins o .htaccess vanno monitorate con attenzione per individuare eventuali modifiche sospette. A ciò si aggiunge l’implementazione di un Web Application Firewall (WAF) e di soluzioni antivirus lato server, che consentono un monitoraggio costante e una difesa attiva contro possibili intrusioni. Non va trascurato il fattore umano: investire nella formazione interna, soprattutto su phishing e attacchi alla supply chain, significa rafforzare la prima linea di difesa dell’organizzazione.
Il maxi-leak FTP mette in luce ancora una volta quanto la superficie d’attacco digitale italiana resti fragile. Non si tratta solo di grandi aziende: la maggioranza delle vittime appartiene al tessuto delle PMI e degli enti locali, spesso privi di strumenti avanzati di difesa. Agire subito non è solo una scelta tecnica, ma un obbligo normativo e reputazionale.
Per un check completo e un piano di protezione su misura, contatta Sito Web Sicuro: i tuoi dati e quelli dei tuoi clienti meritano la massima protezione.
Fonte: RedHotCyber.com
