La sicurezza informatica in Italia torna sotto i riflettori dopo l’ennesimo campanello d’allarme proveniente dal cosiddetto internet underground, nella tarda serata del 20 settembre 2025 sul forum DarkForums è comparso un thread dal titolo piuttosto eloquente: FRESH FTP LEAKS, pubblicato dall’utente Hackfut. Dietro questo nome si cela un archivio di credenziali FTP, username e password in chiaro, che coinvolge diverse nazioni, ma che vede l’Italia come protagonista assoluta.

Le credenziali FTP di 196 siti italiani a disposizione di chiunque

Secondo l’analisi del campione reso pubblico, su 250 record complessivi ben 196 appartengono a domini italiani, un dato che evidenzia ancora una volta la fragilità della nostra superficie d’attacco; tra i target compaiono istituti scolastici, piccole e medie imprese, strutture turistiche, siti di eventi e portali di e-commerce, insomma un mosaico che copre buona parte del tessuto produttivo e istituzionale del Paese.

Le password non sembrano frutto di vecchie compromissioni, molte includono riferimenti temporali come “2024”, indizio che l’esfiltrazione potrebbe essere avvenuta di recente o comunque in tempi non lontani. Il materiale è stato messo a disposizione gratuitamente agli utenti del forum, mentre l’elenco completo viene offerto (come spesso accade in questi circuiti) solo a chi contatta privatamente l’autore via Telegram, lasciando intuire un dataset ben più esteso di quello mostrato in chiaro.

La disponibilità di accessi FTP attivi apre scenari tutt’altro che teorici, tra i rischi più immediati figurano:

defacement di siti istituzionali con sostituzione o alterazione delle pagine web

distribuzione di malware caricando file malevoli direttamente sui server compromessi

esfiltrazione di dati riservati, spesso archiviati proprio sui server FTP

phishing e abuso reputazionale, sfruttando domini legittimi per campagne fraudolente

Con credenziali vive, gli attaccanti potrebbero muoversi in maniera silenziosa e prolungata, compromettendo l’affidabilità di portali che gestiscono anche transazioni economiche o dati personali degli utenti.

Il leak diffuso rappresenta l’ennesima conferma di un problema strutturale: pratiche di sicurezza obsolete e scarsa attenzione alla protezione delle credenziali. Per le realtà coinvolte, spesso PMI o istituti scolastici privi di team dedicati alla cybersecurity, il danno potrebbe non limitarsi all’immagine, ma tradursi in perdite economiche significative.

Gli esperti raccomandano contromisure immediate, reset delle password, autenticazione a due fattori (2FA) ove possibile, aggiornamento dei sistemi e una revisione completa delle procedure di accesso e monitoraggio.

Gli utenti finali non possono che attendere che le aziende e le istituzioni coinvolte reagiscano con rapidità, nel frattempo, questo episodio ci ricorda ancora una volta quanto sia cruciale adottare standard di sicurezza moderni e non sottovalutare l’appeal che un semplice accesso FTP può avere nei circuiti cybercriminali.