Indice
Immaginatevi l’ampiezza di un cyberattacco che potrebbe colpire migliaia di persone, dai dipendenti ai partner commerciali, passando per i clienti di un’azienda importante? È esattamente ciò che ha vissuto Eiffage, il gigante delle costruzioni, recentemente preso di mira dal gruppo di hacker LAPSUS$. Scoprite come è stato orchestrato questo attacco e quali sono le sue conseguenze per le vittime.
Le 3 informazioni da non perdere
Il 25 febbraio 2026, il gruppo LAPSUS$ ha rivendicato un attacco contro Eiffage, un nome ben noto nel settore dell’edilizia e delle opere pubbliche. Il collettivo ha affermato di aver esfiltrato un database contenente precisamente 175.942 registrazioni. Queste informazioni provenivano da NextSend, una piattaforma interna di trasferimento file ampiamente utilizzata da Eiffage per le sue comunicazioni.
NextSend, sviluppata dalla società francese Hegyd, consente l’invio di file voluminosi tra collaboratori e partner. Questo attacco ha quindi colpito non solo i dipendenti di Eiffage, ma anche un gran numero di suoi partner esterni.
Tra i 175.942 individui colpiti, 50.336 sono direttamente impiegati da Eiffage, mentre 125.606 sono contatti esterni, inclusi clienti, subappaltatori e partner. Queste informazioni sensibili espongono le vittime a potenziali attacchi di phishing. Gli hacker potrebbero utilizzare questi dati per creare messaggi fraudolenti molto convincenti, mirati specificamente a queste persone.
In risposta a queste minacce, Eiffage ha messo in atto una pagina di avviso sul suo sito web, avvertendo gli utenti dei rischi legati alle truffe di false fatture e furto d’identità, in particolare tramite l’uso di numeri SIRET e IVA estratti dai dati compromessi.
LAPSUS$ non è al suo primo colpo contro aziende francesi. Nel gennaio 2026, il gruppo aveva già fatto parlare di sé hackerando ENI, esponendo le informazioni di migliaia di clienti professionali. Questa strategia di prendere di mira aziende quotate in borsa si inserisce nella loro logica di pressione massima, alimentando quello che chiamano il loro “wall of shame”, una lista pubblica delle vittime dei loro attacchi.
Eiffage, un attore importante nel settore delle costruzioni, realizza un fatturato di 25 miliardi di euro, come confermato nei suoi risultati annuali pubblicati il 24 febbraio 2026. Questa azienda quotata in borsa non è l’unica ad essere stata presa di mira da cyberattacchi di questa portata. Concorrenti come Bouygues e Vinci hanno dovuto anch’essi affrontare minacce simili, sottolineando la necessità per le aziende di rafforzare le loro misure di sicurezza per proteggere i dati sensibili dei loro clienti e partner.