Attacco hacker al patronato INAS-CISL. Online i dati di 37.500 utenti. L’attacco è stato portato dal gruppo LulzSecITA. Sul Web sono stati pubblicati i dati personali, le email, i numeri di cellulare e le password del sito.
Un attacco nei confronti del sito Web del patronato INAS-CISL ha portato al furto (e alla pubblicazione) dei dati personali di 37.500 persone, tra cui numerosi impiegati di ministeri e agenti della Polizia di Stato. A rivendicarlo su Twitter è il gruppo LulzSecITA, che nel tweet ha inserito anche il link per scaricare il database.
Il gruppo, affiliato ad Anonymous Italia, aveva fatto parlare di sé in altre occasioni. La più clamorosa lo scorso febbraio, quando ha sottratto e pubblicato il contenuto di alcuni server della Lega Nord, comprese alcune email personali di Matteo Salvini.
Questa volta, però, la strategia degli hacktivist è piuttosto difficile da capire. Nel loro tweet giustificano l’attacco come una sorta di “azione dimostrativa contro il potere”, simile a quella che li ha spinti a prendere di mira il Ministero della Salute lo scorso luglio.
Peccato che INAS, nonostante il nome (Istituto Nazionale Assistenza Sociale) non sia un’istituzione legata al governo, ma il servizio di patronato che fa riferimento al sindacato CISL. Insomma: se l’idea era quella di prendersela con il potere costituito, a questo giro i membri di LulzSecITA hanno preso un discreto abbaglio.
Tanto più che il leak è di quelli che possono provocare grossi problemi. I dati pubblicati contengono nome e cognome degli iscritti al patronato, informazioni sulla loro posizione lavorativa, email, password dell’account e numero di cellulare.
A farne le spese saranno in primo luogo gli utenti, che da questo momento possiamo considerare a rischio hacking su qualsiasi servizio. Vista l’abitudine (deprecabile, ma ancora molto diffusa) di utilizzare la stessa password per più servizi, è infatti probabile che molti di loro pagheranno cara la bravata dei LulzSec.
E i problemi potrebbero essere anche più gravi per alcuni di loro. Tra i nominativi, infatti, ce ne sono parecchi che fanno riferimento a indirizzi email del Ministero di Giustizia, del Ministero dell’Interno e anche della Polizia di Stato.
Dalle parti di INAS, nel frattempo, sembrano non essersi accorti di nulla, ma è difficile che possano ignorare la vicenda per molto tempo. Guardando il materiale pubblicato dai LulzSecITA, infatti è lecito pensare che tutti i dati fossero conservati in chiaro, senza alcuna forma di crittografia o salt. Insomma: in chiara violazione di quanto prescritto dal nuovo regolamento GDPR.
Resta da verificare se questi siano gli unici dati a cui gli hacker hanno avuto accesso. Trattandosi di un servizio di patronato, infatti, è probabile che sui server di INAS ci siano anche altri documenti sensibili, come le dichiarazioni dei redditi.
Non solo: considerati tutti i meccanismi di detrazione previsti dal sistema fiscale italiano, è possibile che sui sistemi di INAS ci possano essere anche documenti medici o di altra natura. Una potenziale apocalisse della privacy.
Lascia un commento