Attacco hacker a ePrice: esposti i dati di 6,8 milioni di clienti italiani

L'e-commerce ePrice è stato colpito da un attacco che ha portato al furto e alla pubblicazione online dei dati personali di circa 6,8 milioni di clienti accumulati dal 2008 a oggi. A lanciare l'allarme è stata l'Agenzia per la Cybersicurezza Nazionale (ACN) il 25 marzo 2025, dopo aver individuato un database in vendita su BreachForum, noto marketplace del dark web. Il responsabile, identificato con lo pseudonimo Alcxtraze, ha dichiarato che il pacchetto di dati sarà ceduto a un unico acquirente.

Secondo le prime analisi, non risultano compromesse password o dati di pagamento, ma le informazioni sottratte includono nomi, indirizzi e-mail, numeri di telefono e dettagli degli ordini effettuati. Il livello di dettaglio potrebbe favorire attacchi di phishing avanzati e truffe su misura.

Gli esperti ipotizzano che la violazione sia avvenuta sfruttando una vulnerabilità nel database del sito, consentendo un accesso non autorizzato ai dati degli ordini e alle informazioni di consegna tramite tecniche di scraping. Il malintenzionato dietro l'attacco, tra l'altro, nelle ultime ore ha messo in vendita database di altri siti internazionali.

Di seguito la comunicazione rilasciata da ePrice a commento dell'accaduto:

Gentile Cliente,

vogliamo informarti di una pubblicazione non autorizzata di dati che ha coinvolto ePrice.it. Comprendiamo la gravità di questa situazione e ci scusiamo sinceramente per l'eventuale disagio. La sicurezza dei tuoi dati è la nostra massima priorità, e stiamo facendo tutto il possibile per gestire questa situazione con la massima trasparenza e professionalità.

Cos'è successo?

In data 25 marzo 2025 l'Agenzia per la Cybersicurezza Nazionale ci ha informato della pubblicazione di dati dei nostri clienti su un noto forum del Dark Web. Da quel momento, stiamo lavorando con la massima urgenza per determinare la natura e la portata di questo evento, e se questi dati siano effettivamente riconducibili ai nostri sistemi.

Quali dati sono stati coinvolti?

Sulla base delle informazioni raccolte, i dati potenzialmente esposti potrebbero includere nome, cognome, indirizzo e-mail, dettagli degli ordini e qualora forniti indirizzi e numeri di telefono. Non ci risultano compromessi dati finanziari e relativi alle modalità di pagamento.

Cosa stiamo facendo?

• Abbiamo immediatamente attivato il nostro team di risposta agli incidenti e ingaggiato esperti di sicurezza informatica di alto livello. Questi specialisti stanno conducendo un'indagine approfondita per analizzare gli eventi e valutare la validità dei dati pubblicati.
• La priorità assoluta è accertare l'autenticità dei dati pubblicati e capire come sono stati ottenuti. Stiamo lavorando per contenere la situazione e prevenire ulteriori danni.
• Stiamo collaborando strettamente con le autorità competenti e seguendo tutte le procedure legali necessarie.
• Abbiamo implementato misure di sicurezza aggiuntive per rafforzare le nostre difese e proteggere i dati dei nostri clienti.

Cosa puoi fare?

Per una tua maggior sicurezza, ti consigliamo di:

• Nonostante le credenziali di accesso non risultino coinvolte, suggeriamo in via del tutto precauzionale di modificare la password di eprice.it e degli eventuali account di altri servizi dove questa è stata riutilizzata.
• Prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospetti o altre richieste di informazioni personali.

Per qualsiasi informazione puoi contattarci all'indirizzo mail servizioclienti@support.eprice.it oppure tramite il nostro DPO all'indirizzo mail dpo@eprice.it. Ci scusiamo sinceramente per l'accaduto e, laddove necessario, sarà nostra premura aggiornarti sull'esito delle nostre indagini. Grazie per la tua fiducia.

ePrice.it