Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Set 07, 2018 Marco Schiaffino Attacchi, Gestione dati, Hacking, In evidenza, Intrusione, Leaks, News, RSS 1
Un attacco nei confronti del sito Web del patronato INAS-CISL ha portato al furto (e alla pubblicazione) dei dati personali di 37.500 persone, tra cui numerosi impiegati di ministeri e agenti della Polizia di Stato. A rivendicarlo su Twitter è il gruppo LulzSecITA, che nel tweet ha inserito anche il link per scaricare il database.
Il gruppo, affiliato ad Anonymous Italia, aveva fatto parlare di sé in altre occasioni. La più clamorosa lo scorso febbraio, quando ha sottratto e pubblicato il contenuto di alcuni server della Lega Nord, comprese alcune email personali di Matteo Salvini.
Questa volta, però, la strategia degli hacktivist è piuttosto difficile da capire. Nel loro tweet giustificano l’attacco come una sorta di “azione dimostrativa contro il potere”, simile a quella che li ha spinti a prendere di mira il Ministero della Salute lo scorso luglio.
Peccato che INAS, nonostante il nome (Istituto Nazionale Assistenza Sociale) non sia un’istituzione legata al governo, ma il servizio di patronato che fa riferimento al sindacato CISL. Insomma: se l’idea era quella di prendersela con il potere costituito, a questo giro i membri di LulzSecITA hanno preso un discreto abbaglio.
Tanto più che il leak è di quelli che possono provocare grossi problemi. I dati pubblicati contengono nome e cognome degli iscritti al patronato, informazioni sulla loro posizione lavorativa, email, password dell’account e numero di cellulare.
A farne le spese saranno in primo luogo gli utenti, che da questo momento possiamo considerare a rischio hacking su qualsiasi servizio. Vista l’abitudine (deprecabile, ma ancora molto diffusa) di utilizzare la stessa password per più servizi, è infatti probabile che molti di loro pagheranno cara la bravata dei LulzSec.
E i problemi potrebbero essere anche più gravi per alcuni di loro. Tra i nominativi, infatti, ce ne sono parecchi che fanno riferimento a indirizzi email del Ministero di Giustizia, del Ministero dell’Interno e anche della Polizia di Stato.
Dalle parti di INAS, nel frattempo, sembrano non essersi accorti di nulla, ma è difficile che possano ignorare la vicenda per molto tempo. Guardando il materiale pubblicato dai LulzSecITA, infatti è lecito pensare che tutti i dati fossero conservati in chiaro, senza alcuna forma di crittografia o salt. Insomma: in chiara violazione di quanto prescritto dal nuovo regolamento GDPR.
Resta da verificare se questi siano gli unici dati a cui gli hacker hanno avuto accesso. Trattandosi di un servizio di patronato, infatti, è probabile che sui server di INAS ci siano anche altri documenti sensibili, come le dichiarazioni dei redditi.
Non solo: considerati tutti i meccanismi di detrazione previsti dal sistema fiscale italiano, è possibile che sui sistemi di INAS ci possano essere anche documenti medici o di altra natura. Una potenziale apocalisse della privacy.
***AGGIORNAMENTO
L’INAS ci ha inviato una nota, che riportiamo di seguito, per chiarire i dubbi che abbiamo espresso in fondo all’articolo:
In relazione all’articolo da voi pubblicato ieri sull’hackeraggio al sito www.inas.it, ci preme precisare che – a differenza di quanto da voi ipotizzato – gli utenti dell’Inas Cisl ricevono assistenza previdenziale esclusivamente nelle nostre sedi e che i loro dati non sono registrati sul database del nostro sito web.
Ci preme inoltre sottolineare che il nostro sito riporta in evidenza un avviso per gli utenti in merito al problema creato al sistema.
Per una informazione corretta vi chiediamo cortesemente, pertanto, di rettificare il contenuto dell’articolo eliminando le inesattezze, per evitare la diffusione di notizie errate in una fase in cui stiamo lavorando per tutelare i nostri utenti dopo l’accaduto, in merito al quale sono state avviate tutte le procedure di verifica necessarie.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Devi essere connesso per inviare un commento.
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business
Non vorrei fare il puntualizzante ma la legge sulla privacy prevede la crittografia di dati sensibili, non dati personali… quindi tecnicamente i dati erano conservati secondo la normativa… altra questione è quella della password… dove c’è ancora un acceso dibattito.. dove effettivamente la buona norma prevederebbe la codifica.. ma potrebbe anche essere stata decodificata dagli attivisti….