Un attacco informatico ha compromesso i dati personali di circa 6,8 milioni di clienti italiani del sito di e-commerce ePrice.it. La violazione è stata confermata dall’azienda stessa in seguito all’allarme lanciato dall’Agenzia per la Cybersicurezza Nazionale (ACN) il 25 marzo 2025. L’ACN aveva individuato un database contenente le informazioni degli utenti in vendita su BreachForum, un noto forum del dark web.

Secondo le prime analisi, i dati esposti risalgono al periodo 2008 fino ad oggi e includono nomi, indirizzi e-mail, numeri di telefono e dettagli degli ordini effettuati. Al momento, non sembrano essere stati compromessi dati relativi a password o informazioni di pagamento. Tuttavia, la quantità e la tipologia di dati sottratti potrebbero rendere gli utenti più vulnerabili ad attacchi di phishing mirati e truffe personalizzate.

Gli esperti di sicurezza ipotizzano che l’attacco sia stato condotto sfruttando una vulnerabilità nel database di ePrice, permettendo l’accesso non autorizzato tramite tecniche di scraping. Il responsabile dell’attacco ha anche messo in vendita database di altri siti internazionali.

Di seguito la comunicazione rilasciata da ePrice in merito all’accaduto:

“Gentile Cliente,

vogliamo informarti di una pubblicazione non autorizzata di dati che ha coinvolto ePrice.it. Comprendiamo la gravità di questa situazione e ci scusiamo sinceramente per l’eventuale disagio. La sicurezza dei tuoi dati è la nostra massima priorità, e stiamo facendo tutto il possibile per gestire questa situazione con la massima trasparenza e professionalità.

Cos’è successo?

In data 25 marzo 2025 l’Agenzia per la Cybersicurezza Nazionale ci ha informato della pubblicazione di dati dei nostri clienti su un noto forum del Dark Web. Da quel momento, stiamo lavorando con la massima urgenza per determinare la natura e la portata di questo evento, e se questi dati siano effettivamente riconducibili ai nostri sistemi.

Quali dati sono stati coinvolti?

Sulla base delle informazioni raccolte, i dati potenzialmente esposti potrebbero includere nome, cognome, indirizzo e-mail, dettagli degli ordini e qualora forniti indirizzi e numeri di telefono. Non ci risultano compromessi dati finanziari e relativi alle modalità di pagamento.

Cosa stiamo facendo?

Abbiamo immediatamente attivato il nostro team di risposta agli incidenti e ingaggiato esperti di sicurezza informatica di alto livello. Questi specialisti stanno conducendo un’indagine approfondita per analizzare gli eventi e valutare la validità dei dati pubblicati. La priorità assoluta è accertare l’autenticità dei dati pubblicati e capire come sono stati ottenuti. Stiamo lavorando per contenere la situazione e prevenire ulteriori danni. Stiamo collaborando strettamente con le autorità competenti e seguendo tutte le procedure legali necessarie. Abbiamo implementato misure di sicurezza aggiuntive per rafforzare le nostre difese e proteggere i dati dei nostri clienti. Cosa puoi fare?

Per una tua maggior sicurezza, ti consigliamo di:

Nonostante le credenziali di accesso non risultino coinvolte, suggeriamo in via del tutto precauzionale di modificare la password di eprice.it e degli eventuali account di altri servizi dove questa è stata riutilizzata. Prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospetti o altre richieste di informazioni personali. Per qualsiasi informazione puoi contattarci all’indirizzo mail servizioclienti@support.eprice.it oppure tramite il nostro DPO all’indirizzo mail dpo@eprice.it. Ci scusiamo sinceramente per l’accaduto e, laddove necessario, sarà nostra premura aggiornarti sull’esito delle nostre indagini. Grazie per la tua fiducia.

ePrice.it”

Aggiornamenti Online (29 marzo 2025):

Ho effettuato una ricerca online con query come “ePrice data breach update”, “ACN ePrice data breach”, “BreachForum ePrice database”. Le informazioni più recenti confermano l’accaduto e la comunicazione di ePrice. Al momento, non sono emerse ulteriori informazioni dettagliate sull’acquirente del database o su eventuali attacchi di phishing specifici legati a questa violazione. L’ACN continua a monitorare la situazione. Alcuni esperti di sicurezza raccomandano agli utenti di rimanere vigili e di seguire i consigli forniti da ePrice.

Cosa può fare un utente italiano coinvolto nella violazione di ePrice:

Ecco una lista di azioni che un utente italiano può intraprendere per proteggersi:

1. Cambiare la password di ePrice: Anche se l’azienda afferma che le password non sono state compromesse, è una buona prassi cambiarla immediatamente, soprattutto se si utilizzava la stessa password per altri siti o servizi online.
2. Cambiare le password di altri account online: Se la password utilizzata per ePrice era la stessa o simile a quella usata per altri account (email, social media, home banking, ecc.), è fondamentale cambiarle tutte. Scegli password uniche e complesse.
3. Prestare massima attenzione a email, SMS e chiamate sospette (phishing): I dati rubati potrebbero essere utilizzati per inviare email, SMS o effettuare chiamate truffaldine (phishing o smishing) che sembrano provenire da ePrice o da altre fonti affidabili. Non cliccare su link sospetti, non scaricare allegati da mittenti sconosciuti e non fornire informazioni personali o finanziarie telefonicamente a meno che non siate assolutamente certi dell’identità del chiamante.
4. Attivare l’autenticazione a due fattori (2FA) ovunque sia possibile: Questa misura di sicurezza aggiunge un ulteriore livello di protezione ai tuoi account online. Anche se un truffatore dovesse ottenere la tua password, non potrebbe accedere all’account senza il secondo fattore di autenticazione (solitamente un codice generato da un’app o inviato via SMS).
5. Monitorare attentamente le proprie email e i propri account online: Controlla regolarmente la posta in arrivo (inclusa la cartella spam) e i tuoi account online per verificare la presenza di attività sospette o accessi non autorizzati.
6. Verificare l’attività bancaria e delle carte di credito: Anche se ePrice afferma che i dati di pagamento non sono stati compromessi, è sempre prudente monitorare i movimenti del proprio conto bancario e delle carte di credito per individuare eventuali transazioni sospette.
7. Segnalare eventuali tentativi di phishing: Se ricevi email, SMS o telefonate sospette che sembrano legate a questa violazione, segnalale immediatamente alla Polizia Postale o ad altri enti competenti. Puoi anche segnalare le email di phishing alla tua casella di posta elettronica.
8. Contattare ePrice per chiarimenti: In caso di dubbi o per ulteriori informazioni, puoi contattare ePrice agli indirizzi email forniti nella loro comunicazione: servizioclienti@support.eprice.it o dpo@eprice.it.
9. Consultare il sito del Garante per la protezione dei dati personali: Il Garante potrebbe pubblicare ulteriori informazioni o raccomandazioni in merito a questa violazione. Tieni d’occhio il loro sito web (www.garanteprivacy.it).
10. Considerare l’utilizzo di software di sicurezza: Assicurati di avere un buon software antivirus e antimalware installato e aggiornato sui tuoi dispositivi (computer e smartphone).

È importante rimanere vigili e adottare queste precauzioni per proteggere la propria identità digitale e i propri dati personali in seguito a questa violazione.