Lo scorso luglio avevo posto l’attenzione su un probabile attacco alle caselle eMail di Libero.it, rilevando un invio anomalo di eMail contenente SPAM provenienti dagli account di @libero.it! Successivamente alla prima ondata di eMail risalenti a Maggio 2014 le acque si erano calmate salvo sporadici casi ma nelle ultime 72 ore vi è stato un nuovo invio massimo di eMail contenenti SPAM che rispecchiano le stesse caratteristiche del precedente caso.
Nel dettaglio ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web! Le cinque eMail di spam che ho ricevuto contenevano cinque distinti link ma essi reindirizzavano l’utente sempre al dominio http://gen.xyz che ora sembra essere sospeso.
Cinque indirizzi eMail appartenenti a @libero.it con i quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato SPAM, ad accrescere ulteriormente il misfatto preciso che i mittenti di tali eMail con buona probabilità non si conoscono ne nella vita reale ne virtuale. Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani.
Di seguito vi riporto in una tabella l’eMail che ho rilevato nel precedente caso e nelle ultime 72h:
| Data | Mittente | Ultimo Contatto con il Mittente | Server SMTP | Paese Mittente |
| 29/05/2014 | al************_1986@libero.it | 08/07/2013 | estpak.ee | Estonia |
| 29/06/2014 | adri********rani@libero.it | 24/01/2013 | trjdesigns.com | Biellorussia |
| 30/06/2014 | li*******m@libero.it | 30/09/2011 | telecom.kz | Kazakistan |
| 03/07/2014 | sp****ni.de**ra@libero.it | 08/02/2010 | eigbox.net | Argentina |
| 05/07/2014 | m****.2@libero.it | 05/07/2006 | ccg.ua | Ucraina |
| 08/07/2014 | ca****e@libero.it | 21/03/2014 | dehostingfirma.nl | Paesi Bassi |
| 08/07/2014 | al************_1986@libero.it | 08/07/2013 | mailgun.org | Ucraina |
| 09/07/2014 | f******i-s@libero.it | 24/10/2013 | melvincruz.com | Indonesia |
| 29/11/2014 | al*****caf@libero.it | 21/05/2013 | 1and1.es | Ucraina |
| 29/11/2014 | be**a.****aggi@libero.it | 14/05/2013 | opentransfer.com | Ucraina |
| 29/11/2014 | fabio.***@libero.it | 29/11/2014 | shaw.ca | Biello Russia |
| 30/11/2014 | *.el**a@libero.it | 22/04/2011 | alienweathermachine.com | Russia |
| 01/12/2014 | ele.***@libero.it | 11/07/2010 | zimbra.intercom.com | Indonesia |
Anche in questo caso ho interpellato i laboratori del D3Lab per avere un’ulteriore conferma, lavorano attivamente ogni giorni nel prevenire Phishing per istituti bancari e non solo scansionando una mole di eMail importante ogni giorno. Anche loro hanno rilevato in data 29/11/2014 quattro casi analoghi ai miei. Ovvero email contenente SPAM verso il sito http://gen.xyz e in passato mittenti e destinatari si erano già scambiati eMail.
Venerdì 11 Luglio 2014 avevo commentato sul Blog Ufficiale di Libero.it chiedendo ulteriori dettagli e linkando il mio originale articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!
Grazie invece ai molti lettori che mi hanno aiutato nell’analisi posso trarre le seguenti conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:
- eMail provenienti da account @libero.it realmente esistenti;
- eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
- eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
- eMail inviate dall’estero;
- eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
- eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
- eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it;
- eMail provenienti da mittenti diversi nei due casi rilevati (Maggio ’14 e Novembre ’14) che fa supporre ad un nuovo attacco del portale.
Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.
I mittenti tra la prima analisi e la seconda analisi sono diversi, sarebbe curioso capire se il portale di Libero Mail è stato nuovamente violato oppure gli attaccanti hanno diversificato l’invio massivo di eMail in due periodi diversi molto lontani tra loro. Purtroppo l’archivio eMail è stato ormai sottratto e sarà difficile, se non impossibile, prevenire in futuro un nuovo invio massivo di SPAM, ma bisogna sperare che Libero.it hanno risolto la vulnerabilità nel suo portale.
Purtroppo non avendo ulteriori dati rispetto alla precedente rilevazione non posso che attendere, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli al fine di proteggere gli account di posta elettronica. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!
confemo la ricezione di spam da account Libero (conosciuto) e da/su account Email.it sconosciuti nelle ultime 72h
Ho ricevuto una mail (classificata come spam) da un account esistente con il quale non ho mai scambiato mail. Il server di provenienza è hooplahosting.
La notizia peggiore, però, mi sembra quella del pessimo supporto di Libero. Io mi sono visto tornare indietro persino le segnalazioni di spam (mailbox full!!!) ed ho ricevuto solo risposte generiche e precompilate alle mie domande. Sto migrando la mia posta altrove.
verifica se gli indirizzi mail mittenti sono rintracciabili on-line, se sono stati pubblicati.
Stamane ho ricevuto anch’io e-mail di account libero con cui non ho mai scambiato mail. Però il mio gestore (Yahoo) non lo ha riconosciuto come spam, devo ringraziare solo il mio incline senso alla prudenza.
Gestisco la posta aziendale e oggi ho ricevuto diverse segnalazioni al riguardo.
Mittenti conosciuti, lista di destinatari più o meno soliti, oggetto casuale e nel corpo un singolo link che porta al sito nominato in articolo..
Per fortuna non è un link diretto ad un malware, intanto ho abbassato la soglia del filtro antispam.. anche se queste hanno un rating molto basso!
Vero… Spam da una mia mail libero ad un altra mia mail yahoo ^_^. cmq dall’ultima ondata … ora mi ritrovo che la mail libero che uso in azienda viene intercettata come spam dai miei fornitori…… bel filtro che hanno applicato…. LOL
Ho di nuovo questo problema, alle 6 di stamattina ricevute tantissime mail con titolo Mail Delivery Error, è quindi palese che mesi fa gli spammer siano riusciti a entrare nel loro server e scaricare tutte le email ricevute, inviate o salvate in rubrica. Scritto anche sotto ai post della loro pagina Facebook: https://www.facebook.com/libero.it/posts/10152369688497693?comment_id=10152369755977693&offset=0&total_comments=1
Comunque grazie agli spammer ho cambiato email e ora sono con gmail, tutta un’altra storia!
Quelli di libero negano che dipenda da loro, bisogna segnalare (la segnalazione è gratuita) al garante per la privacy!
E’ uno scandalo… Questa cosa è una grave violazione della privacy.. Devono perlomeno LORO raggruppare tutti gli indirizzi IP dai quali partono le spam (hanno tutte le intestazioni) e successivamente denunciare pesantemente alla Polizia Postale il tutto. Scandaloso che a distanza di anno e mezzo non sia stato fatto nulla. Io ho avuto problemi di privacy rilevanti da questa cosa..
Ciao, noi possiamo segnalare e, perchè no, denunciare! C’è il garante per la privacy (sul relativo sito trovi tutte le indicazioni), si può segnalare alla polizia postale, se poi hai l’effettivo sentore che la cosa ti abbia procurato un danno (naturalmente quantificabile e dimostrabile altrimenti non ti consiglio di procedere) puoi fare una denuncia/querela, nel frattempo contro ignoti ma se hai contattato l’assistenza di libero e loro se ne son fregati dandoti una risposta “prestampata” facendoti credere che si tratta di un tuo problema di sicurezza e non di una loro lacuna allora anche loro son responsabile con la loro… Leggi il resto »
Il server di libero non c’entra nulla. Hanno rubato le vostre credenziali (password) e utilizzano la vostra email per spammare. Se il furto è avvenuto tramite sorgenti esterne (facebook, chat, forum, etc), basta cambiare la password e stare più attenti, se invece è avvenuto tramite il vostro pc (virus) potete cambiare password anche mille volte e ve la ruberanno sempre. Non incolpate LIBERO che non c’entra nulla.
E grazie a quali dati sta affermando ciò?
Andrea
rony, o non ne sai di informatica e rete o non hai analizzato a fondo il problema o cerchi di difendere l’indifendibile. se avessero fregato DA NOI i nostri dati i sintomi sarebbero diversi da quelli che si stanno dimostrando. ragiona, studia e non scrivere cacsate
Sí che sono stati invasi i server, e per essere più precisi quei database dove ci sono tutti gli email inviati e da lì hanno preso mittenti e destinatari con cui “giocare”. Sono dei grandi incompetenti quelli di libero , quando è stato scoperta la vulnerabiltà di OpenSsl non hanno fatto um bel niente sti incapaci, e ora noi paghiamo per l’incompetenza di questi qua che lavorano a ca%%o di cane per libero.it.
Prima di scrivere cretinate bisognerebbe innanzitutto capirne di informatica, poi essere stato vittima del problema. Da come scrivi, tu non capisci nulla di informatica e non sei neanche stato vittima. Evita di offendere milioni di persone in questo modo. Grazie