Apr22025

La piattaforma ePRICE comunica di avere subito una enorme violazione sui dati personali trattati

Lo scorso 29 Marzo 2025 La società ha informato i suoi utenti  di una pubblicazione non autorizzata di dati in cui è stata coinvolta. La comunicazione è stata rilasciata a seguito di una notifica specifica datata 25 Marzo 2025 da parte dell’Agenzia per la Cybersicurezza Nazionale che ha avvisato la società della pubblicazione di dati dei clienti gestiti da ePRICE su un noto forum del Dark Web.

Secondo quanto emerso al momento, i dati esposti dovrebbero includere nome, cognome, indirizzo email e dettagli sugli ordini e qualora forniti anche indirizzi e numeri di telefono. Pare che, almeno al momento, non sarebbero compromessi i dati finanziari/economici. Purtroppo il danno potrebbe essere non così limitato. Il furto di dati «anagrafici» — se inserito in mani capaci — rappresenta oggi una delle armi più pericolose per i truffatori digitali. Con nomi, indirizzi e numeri di telefono reali, è possibile effettuare un furto di identità, costruire email-trappola perfettamente verosimili, avviare campagne mirate di phishing, o addirittura manipolare conversazioni telefoniche in modo da ottenere informazioni ancora più sensibili (come codici bancari o OTP) da parte delle vittime. Tutto questo è oggi ulteriormente amplificato dall’utilizzo dell’AI, capace di generare testi, voci o immagini con un realismo impressionante. L’ACN e ePRICE raccomandano infatti di prestare la massima attenzione a email sospette, chiamate non richieste o richieste di informazioni personali, anche se provengono da contatti apparentemente legittimi.

Secondo alcune indiscrezioni l’autore del furto di dati, che ha annunciato di voler vendere il pacchetto di dati attualmente sul Dark Web a un unico compratore, avrebbe spiegato che il database comprende i dati di 6,7 milioni di utenti, ma il sample pubblicato fa riferimento a dati del 2008 e non recenti. Degna di nota anche la modalità con cui i dati sarebbero stati sottratti. Non un attacco «classico», tramite malware o phishing interno, ma attraverso la ben nota tecnica dello scraping: una procedura automatizzata che consente di raccogliere enormi quantità di informazioni da un sito web sfruttando potenziali falle nella sua struttura. In altre parole, sarebbe stata individuata una vulnerabilità nel sito ePRICE che permetteva di interrogare direttamente il database degli ordini dal front-end, ricevendo risposte di massa contenenti informazioni sugli utenti. L’ipotesi, ancora tutta da verificare, è che il gruppo hacker abbia sfruttato una falla di sicurezza in una specifica versione del DBMS (Database Management System) o di un framework web utilizzato da ePRICE, la stessa che — sempre secondo fonti «undeground» — avrebbe consentito di colpire anche altri portali online italiani ed europei.

ePRICE comunque ha dichiarato di aver immediatamente attivato il team di risposta agli incidenti ed ingaggiato esperti di sicurezza che stanno conducendo un’indagine approfondita per analizzare gli eventi e valutare la validità dei dati. Al momento, sottolinea ePRICE, “la priorità assoluta è accertare l’autenticità dei dati pubblicati e capire come sono stati ottenuti. Stiamo lavorando per contenere la situazione e prevenire ulteriori danni”. Tra le tante risposte messe in campo dal sito ci sono anche delle misure di sicurezza aggiuntive per rafforzare le difese e proteggere i dati degli utenti, che sono invitati a modificare la password e prestare attenzione alle email di phishing o messaggi e chiamate sospette.

ePrice Spa (attiva dal 2008, ma fino al dicembre 2016 Banzai Spa) già holding italiana del settore Internet, era attiva nel mercato del commercio elettronico in Italia. Oggi la Società ha ceduto tutte le attività internet per effetto di un Concordato della sua Controllata, la ePrice Operations. Il sito è attualmente gestito dalla società PB Online Srl che lo ha acquistato nel giugno 2022 per circa 6 milioni di euro. Dopo varie vicissitudini societarie, ePRICE si è focalizzata unicamente sul mercato e-Commerce della tecnologia dove opera oggi con il sito www.eprice.it, dove vengono venduti prodotti e servizi correlati al mondo della famiglia digitale e della casa. L’azienda inoltre possiede un network di 30 punti di consegna e ritiro fisico dei prodotti ordinati online (Pick&Pay) e ha sviluppato una piattaforma di marketplace aperta a venditori esterni.

Massimo Bruno