Libero Mail

Nel corso delle ultime due settimane da alcune analisi effettuate mi è risultato un invio anomalo di eMail contenente SPAM provenienti da account di @libero.it, entrando più nel dettaglio ho ricevuto delle eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi 8 anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Pertanto diverse eMail @libero.it con le quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato un link contenente SPAM, mittenti che sono scollegati tra loro e non si conoscono ne virtualmente ne nella vita reale! Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani. Di seguito vi riporto in una tabella l’eMail che ho rilevato:

 

I Casi Rilevati
Data
Mittente Destinatario Ultimo Contatto con il Mittente Contenuto
29/05/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
29/06/2014 adri********[email protected] d*****[email protected]*****ti.it 24/01/2013 SPAM
30/06/2014 li*******[email protected] [email protected]********.net 30/09/2011 SPAM
03/07/2014 sp****ni.de**[email protected] [email protected]*****i.it 08/02/2010 SPAM
05/07/2014 m****[email protected] [email protected]*****i.it 05/07/2006 SPAM
08/07/2014 ca****[email protected] a*****[email protected]******ti.it 21/03/2014 SPAM
08/07/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
09/07/2014 f******[email protected] [email protected]*****i.it 24/10/2013 SPAM

 

 

Confrontando i dati in mio possesso con i dati di Phishing raccolti dal laboratorio del D3Lab ho trovato conferma che è in corso un insolito traffico di posta elettronica da account di Libero Mail, infatti nel secondo trimestre del 2014 gli attacchi di Phishing verso utenti @libero.it è cresciuto rispetto alla media dell’ultimo anno.

Secondo i dati attualmente in mio possesso è plausibile che una vulnerabilità nel portale Libero Mail ha permesso a malintenzionati di accedere alle caselle eMail di ignari utenti, sfruttare la loro rubrica inviando eMail ad utenti conosciuti scavalcando possibili filtri Anti Spam! Un ulteriore ipotesi può invece vedere colpevoli gli utenti di Libero Mail che usando password notevolmente deboli e pertanto sono stati facili bersagli da parte di Lamer/Cracker che hanno violato gli account proprio allo scopo di inviare questa eMail di Spam!

Continueremo ad analizzare la vicenda, se avete ulteriori informazioni cortesemente avvisatemi 😉 grazie!

[AGGIORNAMENTO 09/07/2014]

Analizzando i sorgenti delle eMail ricevute vi riporto i seguenti dati:

 

Analisi sorgenti eMail
Data Paese Mittente X-Mailer Server SMTP
29/05/2014 Estonia Microsoft Windows Live Mail 16.4.3522.110 estpak.ee
29/06/2014 Biellorussia Microsoft Windows Live Mail 16.4.3522.110 trjdesigns.com
30/06/2014 Kazakistan Microsoft Windows Live Mail 16.4.3522.110 telecom.kz
03/07/2014 Argentina Microsoft Windows Live Mail 16.4.3522.110 eigbox.net
05/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 ccg.ua
08/07/2014 Paesi Bassi Microsoft Windows Live Mail 16.4.3522.110 dehostingfirma.nl
08/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 mailgun.org
09/07/2014 Indonesia Microsoft Windows Live Mail 16.4.3522.110 melvincruz.com

 

da tali sorgenti deduco che gli spammer non hanno usato direttamente il portale eMail di Libero (http://posta.libero.it) ma sfruttavano una connessione SMTP per inviare eMail ed il software Microsoft Windows Live Mail (oppure uno script creato ad hoc che si identifica per tale client) usufruendo di diversi servizi SMTP.

Federico ‘glamis‘ Filacchione, mi ha gentilmente inviato un suo sorgente eMail nel quale vengono riproposte le stesse caratteristiche delle eMail che ho ricevuto personalmente.

Ad oggi pertanto dai dati raccolti possiamo riassumere le seguenti caratteristiche dell’attacco:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione.

Ipotesi

Non avendo inviato le eMail direttamente dal sito internet di Libero, tecnica che gli avrebbe permesso di inviare eMail attraverso un server SMTP che prevede l’autenticazione e quindi migliorando il Rank contro i filtri AntiSpam è plausibile che il Portale eMail di Libero.it contenga una vulnerabilità con la quale è stato possibile estrarre la rubrica eMail di ogni singolo account. Rubrica che poi è stata sfruttata per inviare l’eMail contenenti SPAM.

Punti da chiarire:

  • Gli account eMail @libero.it sfruttati per inviare SPAM hanno subito un cambio password non voluto? Quindi l’attaccante è riuscito anche a cambiare la password di tali account?
  • Libero ha comunicato ai propri utenti un utilizzo anomalo del proprio account invitandoli ad effettuare qualche procedura?

[AGGIORNAMENTO 21/07/2014]

Venerdì 11 Luglio 2014 ho commentato sul Blog Ufficiale di Libero.it la vicenda linkando il mio articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Stando invece ai molti lettori che mi hanno aiutato nell’indagare su questa vicenda posso trarre nuove conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

Attendo, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!

61
Lascia una recensione

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
Fabio
Ospite

Da quanto ho letto, sembra siano stati violate migliaia di email con password deboli, con uno slow bruteforce attack su pop3. L’invio massivo si è verificato già diverse settimane fa.

Carmine Molisso
Ospite
Carmine Molisso

Devo segnalare la stessa cosa anche su Gmail…non ho fatto delle analisi approfondite, ma di recente mi sono arrivate due e-mail da utenti con cui già avevo avuto dei contatti contenente link di spam, soprattutto verso quei siti che promettono soldi e guadagni facili! Fate attenzione!

Andrea Metastasio
Ospite
Andrea Metastasio

E’ più probabile che la versione beta del nuovo web sia vulnerabile ad iniezione di codice da qualche parte.

http://mailbeta.libero.it/

E’ in esercizio da meno di un mese.

Quella vecchia è ancora standard per tantissimi utenti è:

http://posta.libero.it/

Dico questo perché le mie credenziali non era affatto ne deboli ne da dizionario.

Massimo
Ospite
Massimo

Ho segnalato a Libero un probabile attacco in corso non meno di un mese fa: lavoro come sistemista ed alcuni dei miei utenti hanno segnalato la ricezione di mail anomale da parte di persone che conoscevano. I mittenti erano tutti utenti di Libero. Approfondendo la cosa è emerso che le mail venivano inviate a TUTTI i nominativi presenti nella rubrica dell’indirizzo mittente. Inutile dire che la segnalazione è finita nel vuoto… Anzi, mi è stato detto di stare tranquillo, che stavano verificando la cosa. Vedo…

Gianluca
Ospite
Gianluca

Il mio indirizzo libero ha spedito anche oggi un bel po’ di spam. Ciò è accaduto anche se in precedenza avevo provveduto all’eliminazione della rubrica e degli indirizzi in essa contenuti. Ormai sono già alcune volte che mi fa questo tiro, sebbene la password sia stata modificata e resa assai più robusta. Inutile: provvederò alla cancellazione dell’account.

Libero non sta comunicando un bel niente, anzi, sembra negare il problema.

Massimo Caprini
Ospite
Massimo Caprini

Effettivamente Libero non ha comunicato nulla agli utenti, se non di seguire le basilari norme di comportamento in caso di sospetto furto della password dell’account. E tale “consiglio” l’hanno data solo sul loro blog ufficiale, sul quale mi ero recato per segnalare la possibilità di un attacco in corso.

Andrea Metastasio
Ospite
Andrea Metastasio

Io ho anche modificato le informazioni relative alla ‘domanda segreta’ che Libero utilizza per il recupero delle credenziali dell’account, quando dimenticate
Anche perché un attacco di tip forza bruta si può esercitare su quella risposta, che ha generalmente una complessità inferiore alla password dell’account.

Brizio
Ospite
Brizio

Nel mio caso la password non è stata modificata, però ammetto che era molto debole infatti ho pensato fosse stata colpa mia.

Brizio
Ospite
Brizio

Ah… e da Libero non ho avuto alcuna comunicazione

ceskobassman
Ospite
ceskobassman

Tra l’altro questi sono i limiti per le password su Libero:
massimo 20 caratteri, tra i quali sono ammessi: “Maiuscole (A..Z), minuscole (a..z), numeri (0..9), punto (tranne all’inizio della password), trattino e underscore (.-_) Non inserire la sequenza di uno stesso carattere.”

Ridicoli!

Cittadino Imperfetto
Ospite
Cittadino Imperfetto

Sono stato avvisato da un amico che ha appena ricevuto email di spam provenienti dal mio account di LIBERO che non utilizzo da tempo. Confermo che non è stato utilizzato LIBERO per l’invio delle email, che gli indirizzi utilizzati sono stati “presi” dai destinatari di precedenti email e che NON è stata modificata la PASSWORD. Procedo a informare lo staff di LIBERO.

Marco
Ospite
Marco

Le prime avvisaglie di problemi le ho avute da un’amica che mi notificava di aver ricevuto spam dal mio indirizzo il 30 giugno, prima ero in ferie. Ma la mia rubrica è vuota. Quindi le modalità sono diverse.. inoltre la mia password è complessa (lettere, numeri e simboli e lunga 11 caratteri). Suppongo che non sia stato un attacco di tipo Brute Force sulla password. Ma se non ti dicono niente, quante altre volte è successo e nessuno ha notificato?? Visto quello che è successo, vista l’enorme quantità di spam che ricevo continuamente e che anche notificandolo mediante l’apposito tasto… Leggi il resto »

Simone
Ospite
Simone

Per rispondere alle tue domande posso dirti che:
– Non c’è stato un cambio di password da parte dell’attaccante.
– L’invio di mail di spam non è finito dopo il cambio di password da parte mia (le mie pass sono sempre piuttosto complesse).
– Libero sostiene che non ci sia alcun problema.

Come dici te non credo che abbiano avuto accesso pieno all’account, ma più probabilmente hanno recuperato solo la lista dei contatti della posta inviata.

Giobar
Ospite
Giobar

Nel mio caso posso dire che sono stati presi degli indirizzi email presenti solo in email che sono nella cartella Posta inviata su Libero. Uno di questi indirizzi (tra l’altro errato, per cui ho ricevuto un Delivery Error) era presente in un unico messaggio del 12 giugno 2014, quindi l’attacco al server di Libero è stato effettuato dopo tale data. Certo sarebbe più utile se il dettaglio degli accessi all’account Libero, disponibile sul sito, riportasse anche indirizzi IP e accessi tramite Pop/imap

giulio isernia
Ospite

Non credo si tratti di utenze violate. Comunicato già a più persone. Hanno cambiato la password ma successivamente sono partite ancora mail di SPAM.

Daniela
Ospite
Daniela

Il mio caso: – ho sempre inviato le mie email tramite client e solo raramente tramite webmail – non ho mai avuto contatti in rubrica sulla webmail – ho sempre usato pop 3, perciò non ci sono email sul server dopo che il client le ha scaricate nel mio computer. – il mio account ha iniziato a mandare spam (l’ho scoperto tramite notifiche di mancata consegna tornate indietro) SOLO a quegli indirizzi a cui avevo inviato posta dalla webmail quando è capitato che non funzionasse il client. Esempio: quattro anni fa ho richiesto (tramite webmail perché outlook era ko) informazioni… Leggi il resto »

Davide
Ospite
Davide

Ho subito lo stesso problema con il mio account Libero un mese fa.
Venivano inviate e-mail a mio nome (con il mio indirizzo e-mail anche come subject) a contatti presenti nella rubrica della webmail.
Riuscivo ad entrare regolarmente con la mia password (non troppo robusta, ma nemmeno debolissima).
Anche dopo aver cambiato la password e cancellato rubrica, posta in arrivo, posta inviata e cestino), lo spam è continuato per una decina di giorni. Ora si è interrotto.

Emanuele
Ospite
Emanuele

Ciao… a me… dopo luglio è successo anche stanotte. Direi che ogni 3 mesi… è un pó troppo. Ma hai notizie dell’attacco al server di questa notte? P.s. per evitare questo problema a luglio ho cancellato alcuni indirizzi importanti dalla rubrica e da allora… nonostante non ho più scritto… stanotte è arrivato lo stesso lo spam… ed anche a nuovi indirizzi email da poco in rubrica. Thanks

trane52
Ospite
trane52

Nonostante la discussione sia di qualche mese fa, segnalo che ai primi di novembre mi è successa la stessa cosa. Effettivamente pwd un pò debole, cambiata e cancellati tutti i contatti nella rubrica da cui sembrano aver attinto e non tanto dalla posta inviata. Il tutto puntava su indirizzi provenienti dal centro della Turchia! Faccio sapere se dopo le modifiche il problema persiste. Grazie

Maurizio Manca
Ospite
Maurizio Manca

Mi è capitato questa sera per la terza volta negli ultimi 6 mesi. Va ad ondate. Credo che l’elenco di mail rubate (confermo siano tutti indirizzi che erano presenti mesi fa nella mia casella di posta inviata, non in rubrica) stia continuando a girare e ogni tanto qualcuno pensa bene di utilizzarle. E libero non ha mai rilasciato un comunicato ufficiale. Credo sia il caso peggiore della storia dell’informatica italiana, per ampiezza e gravità. Roba che, fosse successa a Microsoft o Google e fosse stata ammessa, li avrebbe messi in seria difficoltà. Figuriamoci se Libero ammettesse una tale falla, anche… Leggi il resto »

tibecco
Ospite
tibecco

Ho trovato gli autori “Ragazzi Russi” dell’attacco al server web di libero.it.
Ho avvisato polizia postale e [email protected]. I gestori di libero mi hanno diffidato dal comunicare quanto trovato in quanto per loro non c’è prova effettiva che abbiano bucato il loro server.

Maurizio Manca
Ospite
Maurizio Manca

Dunque o non vogliono ammetterlo o, ancora peggio, non sono nemmeno stati in grado di comprendere come abbiano fatto, cosa che vorrebbe dire che i server potrebbero essere ancora esposti allo stesso tipo di attacco.

lisa
Ospite
lisa

E’ successo anche a noi per la terza volta, ma nessuno ha trovato una soluzione???

gianluca
Ospite
gianluca

Volevo segnalare che l’episodio si sta riproponendo, ho “inviato” e ricevuto da account Libero.it numerose email dello stesso tipo. Da un controllo sugli accessi effettuati, ho notato un occasso via mobile non effettuato da me e che probabilmente è stato utilizzato per acquisire i dati.

Fabio
Ospite
Fabio

Mi unisco alla segnalazione di gianluca. Anche dal mio indirizzo e-mail di libero sarebbe partite delle email da me non inviate, di cui sono a conoscenza perchè i miei contatti mi hanno comunicato di averle ricevute e perchè ho nella posta le fatidiche notifiche “Mail Delivery Status” eccetera (con data 28.11.2014). Ho segnalato a Libero, mi hanno risposto di modificare la password (fatto ancora prima di scrivergli), controllare il dettaglio degli accessi al mio account (si vedono solo quelli dell’ultimo mese) e che molto probabilmente c’è qualcuno che usa il mio indirizzo per mandare mail di spam ma senza passare… Leggi il resto »

oBBo
Ospite
oBBo

Stessa risposta che hanno dato a me, premetto che sono un IT admin, penso di gestire al meglio la mia password e la sicurezza del mio account, pertanto, se pure le email di fatto non vengono spedite passando per i server di libero, lo staff di libero non spiega come questi siano venuti in possesso dei nostri contatti! Segnalerò al garante della privacy visto che loro fanno orecchi da mercante! Loro devono garantire la sicurezza delle nostre caselle e qualora ci fossero problemi risolverli! Già in passato son ricorso a segnalazioni alla polizia postale per altre questioni, si vede che… Leggi il resto »

Fabio
Ospite
Fabio

Ciao oBBo, ma pensi che se facciamo una segnalazione tutti insieme sarebbe meglio?

oBBo
Ospite
oBBo

Ciao, personalmente sto preparando una segnalazione (sottolineo “segnalazione” perchè è gratuita) al garante per la privacy (andando sul sito dell’authority si trovano tutte le indicazioni), poi sto cercando un indirizzo certo (libero dovrebbe appartenere a italiaonline spa) per inviare una diffida ad adempiere agli obblighi contrattuali e di legge, riguardo la privacy dei loro utenti… (chi tratta informazioni personali si assume l’onere di mantenerle in sicurezza e quando gli segnalano una possibile violazione, per risposta, non penso sia corretto negare, penso sia corretto indagare e per obbligo di legge sono tenuti ad effettuare tutte le procedure e gli aggiornamenti per… Leggi il resto »

Andrea
Ospite
Andrea

Caro oBBo, tienici informati se ci dovessero essere degli sviluppi. Personalmente ho subito l’attacco tre volte. L’ultima in ordine cronologico lo 01/12. Stessa cosa per mia moglie ma in date diverse (non abbiamo virus sul pc di casa).

Sergio
Ospite
Sergio

Buongiorno, mi è successa la stessa cosa proprio stamattina, un mio amico ha ricevuto mail dal mio indirizzo libero.it con link a sito/blog che promette vincite facili di nn so quale tipo, mail inviata a tutti i miei contatti. Ho già cambiato password. Ora che fare? Cosa comporta in termini di sicurezza della mail?

Andrea
Ospite
Andrea

Purtroppo credo non ci sia soluzione. Semplicemente sono riusciti evidentemente a prendere i dati della posta inviata e quindi ad associare il nome della tua mail agli indirizzi ai quali hai inviato mail. La soluzione più concreta da fare è avvisare i propri contatti dell’avvenuto furto, chiudere la mail e crearne una nuova (possibilmente non con dominio libero.it)

Edo
Ospite
Edo

Personalmente, non aggiungo nulla di nuovo a quanto commentato: situazione identica alle descritte! Ma mi voglio aggiungere alle proteste.

Paolo
Ospite
Paolo

stesso problema anche per me…..link di prodotti edili turco!!!!

Donato Corbo
Ospite
Donato Corbo

gestisco una newsletter con migliaia di iscritti, è un’ordine professionale quindi niente a che vedere con pubblicità etcc.. solo comunicazioni ufficiali con SMTP dedicato autenticato, spf esposto, da un po’ di tempo arrivano segnalazioni RANDOM di utenti libero.it che non ricevono più le comunicazioni. Oggi tra le solite verifiche ho constatato che il 33% delle email destinate a libero.it su IP 212.48.24.20 non sono state recapitate, il server di libero rifiuta la connessione! Avete delle notizie in merito?

alberto
Ospite
alberto

Segnalo che oggi è appena accaduto per la seconda volta in sei mesi l’invio di spam con il mio indirizzo Libero alla mia rubirca. la precedente a luglio. Una vergogna.

Diego
Ospite
Diego

Buongiorno, volevo segnalare che in questi giorni sto avendo lo stesso problema: ho ricevuto sulla mia casella di posta aziendale un’email proveniente dal mio account di libero, email che naturalmente non ho spedito, ed era indirizzata, oltre al mio aziendale, anche verso indirizzi a cui in precedenza avevo, per vari motivi ,spedito email. Come email la uso solo via browser, non uso client tipo outlook, il mio pc lo tengo pulito da virus, per cui secondo me devono aver “sfondato” i loro server. Ho provato a chiedere informazioni a Libero, però se è come dite è tempo perso. Stavo pensando… Leggi il resto »

Matty
Ospite
Matty

Confermo che il problema è ancora esistente, e si è notevolmente ampliato negli ultimi giorni.
Personalmente non farei denuncia in quanto è solo uno spreco di tempo.
Ma sicuramente cambierei fornitore dei servizi di posta elettronica, è risaputo da anni che Libero.it è paragonabile ed uno scolpasta digitale

Tiziana Cusinato
Ospite
Tiziana Cusinato

La mia e mail seguente [email protected] è utilizzata da altri -ero stata contattata su messenger avendo dato purtroppo amicizia a persone che non conoscevo …mi hanno annunciato che sarei stata controllata e hanno clonat mia pass. ho tentat in tutti i modi di riottenere pass. Ed entrare non è stato possibile. Per pessimo scherz a me non interess e mail e sono andata da polizia postale che mi Ha detto di farl scader. Non voglio che mia e mail sia utilizzata da altri…di quello che ho detto sono certa ho avut problemi anche con f. E la mia pass. Non… Leggi il resto »

Tiziana Cusinato
Ospite
Tiziana Cusinato

Oltre tutto quelle persone purtroppo che mi hanno contattata non erano affatto racvomandabili

Marco Piva
Ospite
Marco Piva

io ne ho violata una!! ho detto che mi sono dimenticato la password,libero mi ha chiesto il mio colore preferito!!(non il mio ovvio) e ho reimpostato la password!!! una tipa che mi ha preso in giro!! mi ha incuriosito sino a tal punto!!