L'immagine mostra il logo di manomano.it a cui sono stati sottratti i dati da un attacco informatico.

ManoMano.it hackerato: Dataleak da 37,8 milioni di account

di Cristian Galloin Novitàon Pubblicato il

Il 2026 si apre con uno degli incidenti di sicurezza più significativi degli ultimi anni nel settore e‑commerce europeo. ManoMano, piattaforma leader nel fai‑da‑te e nella vendita di prodotti per la casa, ha confermato di essere stata vittima di un attacco informatico che ha coinvolto uno dei suoi fornitori di servizi clienti. L’incidente, avvenuto nel gennaio 2026, ha portato alla sottrazione non autorizzata di dati personali associati agli account dei clienti.

Secondo le informazioni circolate nel settore e le comunicazioni inviate agli utenti, il data leak potrebbe aver interessato fino a 37,8 milioni di account europei. Sebbene ManoMano non abbia confermato pubblicamente il numero esatto, la portata dell’incidente è comunque rilevante e merita un’analisi approfondita.

In questo articolo analizziamo l’accaduto con l’approccio di un ethical hacker, spiegando cosa è successo, quali dati sono stati esposti, quali rischi reali comporta per gli utenti e quali misure di sicurezza sono state adottate.

Cosa è successo davvero: la dinamica dell’attacco

Secondo la comunicazione ufficiale ricevuta dagli utenti, l’incidente è avvenuto tramite il compromesso dell’account di un agente appartenente al subappaltatore che gestisce parte del servizio clienti di ManoMano.

La dinamica, come descritta nella mia email, è la seguente:

  • Nel gennaio 2026, un attaccante ha ottenuto accesso all’account di un operatore del servizio clienti.
  • Tramite tale accesso, è stata effettuata una estrazione illecita di dati (download non autorizzato).
  • L’incidente è stato individuato e bloccato solo successivamente, quando ManoMano ha avviato un’indagine interna.

Dal punto di vista tecnico, questo tipo di attacco rientra nella categoria delle compromissioni di account privilegiati (PAA – Privileged Account Abuse). È una delle tecniche più pericolose perché sfrutta credenziali legittime, rendendo difficile distinguere l’attività malevola da quella ordinaria.

Quali dati sono stati esposti

La comunicazione ufficiale è molto chiara sui dati coinvolti:

  • Nome e cognome
  • Indirizzo email
  • Numero di telefono
  • Eventuali scambi con il servizio clienti

ManoMano specifica che:

  • La password non è stata compromessa
  • I dati non sono stati modificati

Questo significa che l’attaccante ha avuto accesso a informazioni personali ma non alle credenziali di accesso o ai dati di pagamento (che in genere sono gestiti da provider esterni PCI‑DSS compliant).

Tuttavia, anche senza password, i dati esposti sono sufficienti per attacchi di phishing mirato, social engineering e tentativi di furto d’identità.

Perché questo data leak è pericoloso: analisi dei rischi

Dal punto di vista di un ethical hacker, i rischi principali sono tre:

Phishing altamente credibile

Con nome, email e storico delle conversazioni, un attaccante può costruire messaggi estremamente convincenti, ad esempio:

  • “Il tuo ordine ManoMano è in sospeso, clicca qui”
  • “Abbiamo bisogno di verificare il tuo indirizzo”
  • “Aggiorna il metodo di pagamento”

Smishing e vishing

Il numero di telefono esposto permette:

  • SMS fraudolenti (smishing)
  • Chiamate impersonando il servizio clienti (vishing)

Furto d’identità

Gli attaccanti potrebbero usare i dati per:

  • creare account falsi
  • tentare registrazioni su altri servizi
  • rivendere i dati nei marketplace underground

Come ha reagito ManoMano?

La mia email riporta una serie di azioni correttive:

  • Blocco immediato dell’account compromesso
  • Revoca totale degli accessi al subappaltatore
  • Rafforzamento dei controlli di accesso
  • Notifica alle autorità competenti:
    • CNIL
    • ANSSI
    • Cyber Emergency Île‑de‑France

Questa risposta è coerente con le best practice europee in caso di data breach (GDPR art. 33 e 34)

Cosa devono fare gli utenti: raccomandazioni pratiche

La comunicazione di ManoMano fornisce una lista completa di misure preventive. Da ethical hacker, le sintetizzo in tre priorità assolute:

Diffidare da email, SMS e telefonate sospette

Non cliccare link, non scaricare allegati, non fornire dati personali.

Verificare sempre il mittente

Gli attaccanti useranno email molto simili a quelle ufficiali.

Monitorare i conti bancari

Non perché ManoMano abbia perso dati finanziari, ma perché gli attaccanti potrebbero tentare frodi indirette.

Ulteriori dettagli: un incidente serio, ma gestito in modo trasparente:

Il data leak di ManoMano è un caso emblematico di come la sicurezza della supply chain (fornitori, subappaltatori, call center) rappresenti oggi uno dei punti più vulnerabili per le aziende digitali.

La trasparenza della comunicazione inviata agli utenti è un segnale positivo, ma l’incidente resta grave e dimostra quanto sia fondamentale:

  • limitare i privilegi degli operatori,
  • monitorare gli accessi in tempo reale,
  • applicare politiche Zero Trust,
  • formare il personale contro il phishing.

Come ethical hacker, considero questo episodio un monito per tutte le aziende che delegano parti critiche del proprio servizio a terze parti.

Lascia un commento