Il Garante ha avviato un’istruttoria sul caso dell’hackeraggio delle email di migliaia di avvocati romani ad opera dei collettivi LulzSecITA e Anonymous. Il Presidente del Garante ha dichiarato che tale caso è un chiaro segno della inadeguatezza delle misure di sicurezza correlate alla gestione del servizio PEC, che dovrebbe garantire la massima riservatezza e su cui si basa l’intera architettura del processo telematico.
Si tratta di un attacco pianificato, e portato avanti a più riprese, contro bersagli istituzionali e commerciali. Il 6 maggio 2019 il gruppo di attivisti LulzSecITA, in collaborazione con il gruppo Anonymous, ha annunciato via Twitter cinque attacchi in cinque giorni.
Il primo giorno il collettivo ha diffuso in rete due cartelle compresse contenenti i dati di 371 avvocati dell’Ordine di Caltagirone e Matera, seguite il giorno dopo da quella contenente dati su 232 avvocati dell’ordine di Piacenza e da i dati di 30mila avvocati romani, tra cui quelli del sindaco della capitale, Virginia Raggi.
Lo scopo dell’azione sembrerebbe essere puramente ideologico: il collettivo ha infatti voluto rendere nota la vulnerabilità dei sistemi informatici attaccati, denunciando come molte password siano state archiviate “in chiaro”. Nei database pubblicati sarebbe infatti possibile vedere i nomi utenti, le password, gli indirizzi email e di residenza degli avvocati. Si tratterebbe quindi di dati non protetti, registrati senza alcun tipo di criptazione delle informazioni.
La vittima seguente è stata il colosso di telefonia mobile Vodafone. In data 8 maggio LulzSecITA ha reso noto un link ad un file pubblicato su Pastebin contenente alcune pagine di dati estratti dal database di Vodafone. Nel dump sono presenti le password degli amministratori, ma anche i dati degli utenti (inclusi i numeri di telefono, le password, gli indirizzi e le mail), e relativa localizzazione.
Il giorno dopo, gli hacker hanno rivendicato un attacco al Garante per la Protezione dei Dati Personali. In realtà, secondo gli accertamenti, ad essere stata violata sarebbe stata un’applicazione esterna al sito del Garante. Si tratterebbe del vecchio “registro dei trattamenti”, il registro – attivo fino all’entrata in vigore del GDPR – dove chi iniziava un trattamento di dati era tenuto a notificarlo. Un registro ad oggi aperto e quindi contenente dati già accessibili al pubblico. Un’azione quindi che potrebbe essere definita una “goliardata”, evidenziata anche dall’immagine satirica che il collettivo hacker ha pubblicato sulla pagina dell’applicazione del Garante.
Il Garante ha fatto comunque sapere di non aver sottovalutato le vulnerabilità messe in luce da LulzSecITA e Anonymous. “Abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni agli interessati: in particolare avvocati e loro assistiti”, ha dichiarato il presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro.
Ma la settimana nera degli hacker nostrani non si è arrestata. Il 10 maggio il collettivo LulzSec ha reso inaccessibile la pagina internet Pay di TIM, il sistema di acquisti di Telecom Italia che consente di addebitare gli importi dei tuoi acquisti sul conto telefonico. E nello stesso giorno è giunta notizia che i due collettivi hacker avrebbero anche violato 15 mila PEC degli avvocati del foro di Napoli e disagi si sono verificati anche ad Avellino e Bari. In particolare, secondo quanto riportato in un comunicato dal presidente dell’Ordine degli Avvocati di Bari, i pirati informatici avrebbero violato i server di uno dei gestori PEC più diffusi tra gli avvocati reperendo le user ID e le password di primo accesso (cioè le credenziali ricevute dal gestore stesso, che andrebbero modificate dopo il primo accesso).
Dopo cinque giorni di ciò che si potrebbe definire un “bombardamento virtuale” i collettivi sembrano essersi momentaneamente placati. Gli attacchi hanno messo in luce lo stato gravemente insufficiente dei sistemi a protezione dei dati personali su più fronti, istituzionali e non, e i rischi a cui tutti i cittadini sono sottoposti quando affidano le loro comunicazioni agli operatori, compresi quelli che gestiscono le caselle PEC. A questo proposito il Garante Privacy ha lanciato un vero e proprio allarme, in un comunicato sul suo sito:”emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la pec, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico“. Si rimane in attesa del risultato dell’istruttoria.
