Hackerato il sito di Federprivacy

Hackerato il sito di Federprivacy. Da ieri sera è letteralmente esploso il passaparola, tra gli addetti ai lavori e non, di un grave evento accaduto nel mondo della data protection: il sito di Federprivacy, l’associazione dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico, è stato oggetto di un attacco informatico.

L’attacco ha altresì coinvolto il profilo LinkedIn del presidente dell’associazione, il dott. Nicola Bernardi.

 

L’hackeraggio e i dati coinvolti

Il leader del gruppo Alpha Team, conosciuto con il nickname di Z0RG, ha esplicitamente rivendicato l’azione.

Sul profilo LinkedIn del dott. Bernardi, allo stato non più nella sua disponibilità, è stato difatti rilasciato il seguente post:

“Caro Nicola Bernardi, sono Z0RG e sono il leader dell’Alpha Team.

Abbiamo trovato alcune grosse falle in Federprivacy.org e siamo entrati nel portale per fare una copia di tutti i vostri dati.

1 * Una copia del database: “h633171_Sql1032290_1” e “h633171_Sql1032290_1”.
2 * Un backup completo del vostro server: 195.231.70.156
3 * Backup completo degli indirizzi e-mail: “e-mail ricevute + inviate” per tutti gli indirizzi e-mail di federprivacy.org.
4 * La modifica delle password degli indirizzi e-mail “Just as proof of access”.
5 * La modifica della password di “X + instagram + linkedin + zoom…” “Come prova di accesso”.

Lo facciamo perché è impensabile che chi protegge i dati degli altri non protegga i propri.

Non vogliamo rendere pubblica l’enorme quantità di dati che vi appartengono e che ora sono in nostro possesso, né venderli alla concorrenza, né utilizzare i vostri profili social e le vostre e-mail per danneggiare altri.

Vogliamo invece che la questione sia risolta nel modo più discreto possibile, in modo che, una volta soddisfatte le nostre richieste, possiamo cancellare tutto ciò che è in nostro possesso e inviarvi un rapporto contenente tutte le vulnerabilità che abbiamo scoperto nel vostro sistema, in modo che possano essere corrette.

Ovviamente, per farlo, vorremmo parlare con lei e trovare un accordo che soddisfi entrambe le parti.

Se siete d’accordo, rispondete a questo messaggio e discuteremo civilmente.

Non vogliamo davvero rivelare tutto e dare una cattiva immagine di voi in Italia. Perché sarà difficile per i vostri clienti fidarsi di nuovo di voi.

Ci affidiamo alla vostra saggezza.”

Le conseguenze

Allo stato il sito dell’Associazione risulta ancora inagibile. Come ogni attacco informatico a entità pubbliche o parapubbliche rilevanti (ricordiamo, ad esempio, l’attacco hacker al profilo Facebook al museo di Firenze), il primo pensiero va alle conseguenze potenzialmente pericolose ai dati personali degli interessati coinvolti.

È indubbia la rilevanza di un data breach di tale specie avvenuta a danno di una tra le più importanti (e famose) realtà italiane del mondo della data protection.

Con la speranza che le intenzioni di Alpha Team non siano effettivamente lesive per i dati degli interessati coinvolti, il mondo della data protection rimane col fiato sospeso in attesa di nuovi sviluppi.