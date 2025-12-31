L’Agenzia Spaziale Europea (ESA), la principale organizzazione intergovernativa che coordina l’esplorazione spaziale e la ricerca scientifica per 23 stati membri, ha confermato ufficialmente di aver subito un incidente di sicurezza informatica.

La violazione è stata resa nota il 30 dicembre 2025 tramite una dichiarazione pubblica tramite il proprio account ufficiale su X. L’incidente si colloca in un contesto digitale sempre più ostile per le infrastrutture critiche.

L’ESA ha localizzato la violazione su server situati al di fuori della propria rete aziendale principale; si tratterebbe, secondo le dichiarazioni ufficiali, di un “numero molto ridotto di server esterni” utilizzati prevalentemente per progetti di ingegneria collaborativa non classificati.

Tuttavia, la tempistica e la natura delle rivendicazioni emerse nel dark web suggeriscono una violazione significativa: l’intrusione sarebbe iniziata intorno al 18 dicembre, garantendo agli attaccanti l’accesso all’infrastruttura per circa una settimana prima che la situazione venisse alla luce.

Quali dati sono stati rubati

La gravità dell’attacco emerge chiaramente dalle rivendicazioni fatte dall’autore della violazione. Un utente noto con l’alias “888”, attivo sul famigerato forum di hacking BreachForums, ha rivendicato la responsabilità dell’attacco il 26 dicembre, affermando di aver esfiltrato oltre 200 GB di dati dai sistemi dell’ESA.

L’attaccante ha messo in vendita l’intero pacchetto di dati in un’unica soluzione, richiedendo il pagamento in Monero (XMR), una criptovaluta scelta specificamente per le sue caratteristiche di anonimato e la difficoltà di tracciamento delle transazioni.

Secondo quanto dichiarato, l’archivio sottratto conterrebbe materiali estremamente sensibili per lo sviluppo e la gestione delle infrastrutture IT dell’agenzia. Tra i file elencati dall’hacker figurano:

Codice sorgente prelevato da repository Bitbucket privati

Configurazioni per le pipeline CI/CD (Continuous

Integration/Continuous Deployment)

File di database SQL e documentazione interna

Codice infrastrutturale Terraform

Token di accesso, chiavi API e credenziali hardcoded all’interno dei file di configurazione

A supporto delle proprie affermazioni, il cybercriminale ha pubblicato diversi screenshot che mostrano strutture di directory e frammenti di codice sorgente, sebbene l’autenticità di questi campioni non sia stata ancora verificata in modo indipendente da terze parti.

L’ESA ha reagito avviando immediatamente un’indagine forense e implementando misure di sicurezza per proteggere i dispositivi potenzialmente interessati, oltre a notificare l’accaduto agli stakeholder coinvolti.

Sebbene l’agenzia abbia sottolineato che i sistemi compromessi supportano solo collaborazioni di ricerca non classificate, gli esperti di CyberInsider avvertono che il furto di infrastrutture di sviluppo interne comporta rischi seri: segreti come token o credenziali, se riutilizzati, potrebbero consentire agli attaccanti di muoversi lateralmente verso ambienti operativi più critici.