Garante della Privacy subisce data-breach

Indice

Il gruppo hacker LulzSec_ITA ha appena pubblicato un tweet nel quale sembra aver effettuato un data-breach ai danni del sito de Garante della Privacy.

Dai dati pubblicati non sembra esserci alcun dato ma bensì la struttura delle tabelle di una parte del portale. Un data-breach grave, con una valenza istituzionale senza precedenti.

La gravità di questo attacco va a posizionarsi in un periodo storico molto importante per questo Garante: ossia la chiusura del mandato del settennato.

Il link ufficiale al tweet degli hacker è il seguente.

https://twitter.com/lulzsec_ita/status/1126483671010107394?s=21

Tra le informazioni oggetto di breach risulta esserci la tabella TAB_PAR che contiene alcune informazioni da attenzionare e sulla quale comparirebbe anche la mail dell’amministratore del DB.

Giustamente l’utente V. fa notare che il problema potrebbe derivare dalla versione adottata di LifeRay (portale usato anche da altri soggetti istituzionali).

Ho richiesto una dichiarazione esclusiva di LulzSec_ITA che riporto fedelmente.

è stato abbastanza facile entrare in quel server, gli do un 6/10. Aggiungo anche che, nulla in rete è inviolabile, e speriamo che le persone inizino a capirlo. Abbiamo già visto molti anche Avvocati, dalla nostra parte nonostante il rilascio dei loro dati.Bisogna guardare più verso la sicurezza che verso il costo. La sicurezza non è da sottovalutare, in Italia ci va investito di più.Non bisogna criticare noi per ciò che facciamo, ma piuttosto guardare cosa potrebbe farci un vero criminale, rivenderli a terzi, per denaro.Noi una volta pubblicato tutto, cancelliamo, facciamo una pulizia accurata di tutti i nostri sistemi, non giriamo niente a nessuno se non al popolo Italiano.

Fonte: LulzSec_ITA

A voi le conclusioni. Intanto il Garante ha preso atto di quanto accaduto con un comunicato.

Oggetto: Attacco informatico: non violato il sito del Garante, ma un’applicazione esterna con dati già pubblici

Le informazioni oggetto di violazione non riguardano il sito del Garante (www.garanteprivacy.it), bensì un’applicazione esterna, non più attiva a seguito dell’entrata in vigore del GDPR se non come registro pubblico, e quindi contenente dati già accessibili. L’Autorità non sottovaluta in ogni caso l’attacco subito e sta predisponendo adeguate misure. Roma, 9 maggio 2019

Garante della Privacy (Link)

La mia opinione personale

Alcuni di voi mi hanno scritto in privato chiedendomi un parere in merito a questo data breach. Risponderò per punti ai quesiti più frequenti:

  1. Anche se questo attacco non ha sottratto informazioni ma strutture di tabella, esso è da considerarsi un data breach poiché l’accesso alle informazioni avviene usando mezzi non autorizzati, da personale non autorizzato.
  2. Derubricare il data breach solo perché non contiene i dati utente è un errore: il data breach ha mostrato una negligenza negli aspetti di sicurezza del Garante della Privacy (in questo caso). La negligenza consisteva nel mantenere online un’applicazione esterna non più attiva, come dice lo stesso Garante.
  3. È mia opinione che un data breach non vada mai sottovalutato o derubricato: non vi è un merito per il quale sia stato di poco impatto. La risposta del Garante della Privacy è stata altresì seria: non ha evitato l’argomento, ha ammesso l’attacco e dichiara di essere impegnato nella sua gestione.
  4. Molti si sono divisi sull’utilizzo di SQL Map (per chi non sapesse cosa sia invito a leggere questo articolo). Utilizzare SQL Map e penetrare in un sistema è un mezzo più che lecito. Non è denigratorio per un hacker, denota solo la negligenza di chi gestisce il portale web. Se funziona SQL Map perché non usarlo, lo scopo è bucare un sistema e non fare virtuosismi.

Il colpo di oggi al Garante mi è dispiaciuto molto; con alcuni di voi mi sono sfogato (grazie Francesco per avermi tollerato) ma forse è meglio così: conferma che nessuno è immune, nessuno è infallibile. La bravura è la capacità di mitigare gli effetti e “rialzarsi” nella maniera più consona. Questa secondo me deve essere un’importante chiave di lettura. Giriamo pagina (rigorosamente elettronica)…domani è un altro giorno.