Cosa sappiamo dell’attacco hacker in cui è coinvolta Enel, a rischio un archivio da 745 Gb di dati personali
“Buongiorno, la informiamo che la società Network Contacts Spa ha subito un attacco informatico che ha riguardato i dati personali di alcuni clienti di Enel Energia, tra cui i Suoi”. Questa mail, corredata da informazioni sull’attacco e numeri di telefono da contattare, sta arrivando a diversi clienti Enel. Il numero di persone coinvolte non è ancora noto, ma le informazioni diffuse fino a questo momento permettono di ricostruire tutti i dettagli sull’attacco.
L’attacco di cui ora si sta occupando Enel risale ale 27 aprile 2022. È qui che Network Contacts Spa è stata attaccata da un gruppo di criminali informatici. Nei messaggi di Enel non è riportato il quantitativo di informazioni sottratte ma il portale Red Hot Cyber ha correlato il nome dell’azienda e la data del furto con gli annunci nei market del darkweb dove vengono messi in vendita i sample di dati sottratti alle aziende.
Qui si può trovare un’annuncio firmato dalla cybergang Industrial Spy, attiva come sigla da meno di un anno nella scena del cybercrime. L’archivio sottratto che Industrial Spy rivendica di aver rubato a Network Contacts Spa è consistente. Si parla di 745 Gb, tutti di dati personali. Come confermato anche da Enel nelle sue comunicazioni, in questi dati ci sono diverse informazioni dei clienti: nome, cognome, codice fiscale, partita IVA, indirizzo postale, numero di telefono e indirizzo di email.
Cosa succede ai clienti coinvolti nel furto di dati
Enel spiega che il furto di dati non ha creato problemi ai contratti: “Desideriamo, tuttavia, rassicurarla che ad oggi non sono state rilevate anomalie in relazione al Suo contratto di fornitura”. I dati rubati non riguardano informazioni bancarie. A giudicare dalla tipologia dei dati trapelati potrebbero però essere comunque pericolosi: sono sufficienti per un furto di identità o un tentativo di hacking ai profili social.
Il problema (sempre più grande) dell’Italia con la cybersecurity
Secondo le analisi pubblicate da Trend Micro, il 2021 è stato uno degli anni peggiori per la cybersecurity in Italia. Il numero di malware intercettati è passato da circa 22 milioni a 62 milioni. Questo dato ha portato l’Italia a diventare il quarto Paese al mondo più colpito da virus informatici. Spesso sono vittime di questi attacchi le aziende che lavorano come fornitori di servizi, in questo modo attaccando un’azienda di medie dimensioni è possibile colpire un colosso, come successo nel caso di Enel.
Il commento di Enel a Fanpage.it
Dopo la pubblicazione di questo articolo, Enel ha scritto una risposta alla nostra redazione. Riportiamo qui di seguito il commento in forma integrale:
"In data 27 aprile 2022, un fornitore di Enel Energia ha comunicato di aver subito un attacco informatico che ha riguardato i dati personali di alcuni clienti della stessa società energetica. Quest’ultima, nelle 72 ore successive alla notizia, ha notificato l’accaduto all’Autorità Garante per il Trattamento dei Dati Personali (come previsto dall’art. 33 del GDPR) e richiesto contestualmente al fornitore informative più specifiche sull’accaduto e garanzie sull’adozione di misure di controllo, prevenzione e tutela dei propri clienti.
Dalle verifiche effettuate è emerso che ad oggi non risultano utilizzi abusivi dei dati dei clienti interessati o interventi sospetti sui relativi contratti di fornitura di energia e/o gas. Enel Energia ha inviato ai suddetti clienti una comunicazione per informarli sull’episodio e sull’esito favorevole delle analisi fin qui condotte, mettendo a disposizione i riferimenti telefonici per fornire eventuali ulteriori delucidazioni in merito".