In data 17/07/2024, il gruppo Mad Liberator ha pubblicato sul proprio sito internet la rivendicazione di un data breach ai danni del Ministero della Cultura. Cerchiamo di saperne di più.
Informazioni generali
Insieme allo staff di Ransomfeed.it, che come di consueto ha prontamente segnalato il data breach, e a eCrime Threat and Risk Intelligence Services per la collaborazione e la celerità nel fornire questi dati, si è potuto determinare un dimensionamento preliminare dell’incidente.
Target: Direzione Generale Educazione e Ricerca del MiC
Data pubblicazione: 17/07/2024
Autore: Mad Liberator
Dimensione file: 347,43 Mb tra cui:
- *.pdf (176,84 MB)
- *.pst ( 30,00 MB)
- *.jpg ( 27.62 MB)
- *.7zip ( 27.00 MB)
- *.zip ( 21.03 MB)
Nota del 19/07/2024: il data leak è stato successivamente ampliato dal collettivo Mad Liberator aggiungendo file che hanno modificato le statistiche sopra riportate e peggiorato sensibilmente la gravità dello scenario analizzato.
Che cosa è la DGERIC
Da una prima analisi si può dedurre che i file provengono dalla Direzione Generale Educazione e Ricerca (DGERIC) del Ministero della Cultura (MiC) (https://dgeric.cultura.gov.it/) che, da quanto si legge sul sito internet, è “un organo centrale del Ministero della cultura (MiC), le cui funzioni e compiti sono indicate all’art.15 del DPCM 2 dicembre 2019 n. 169“. La Direzione Generale Educazione e Ricerca:
- promuove la conoscenza del patrimonio culturale e della sua funzione civile a livello locale, nazionale e internazionale: predispone ogni anno il Piano Nazionale per l’Educazione al Patrimonio Culturale, curando lo svolgimento, la verifica e la valutazione delle azioni previste e redige un rapporto sull’attuazione dell’art. 9 della Costituzione. Attraverso il Centro per i servizi educativi, coordina il sistema dei servizi educativi nei musei e sul territorio, anche in riferimento al pubblico con disabilità. Inoltre, elabora e cura campagne di informazione integrate;
- coordina e favorisce programmi di ricerca nel campo del patrimonio culturale: collabora con enti pubblici e privati, con istituzioni di ricerca europee e internazionali, con il MUR e il CNR alle attività di coordinamento e promozione di programmi universitari e di ricerca nei campi di competenza del Ministero della cultura;
- elabora, autorizza e valuta le attività di formazione interna al MiC: definisce gli obiettivi formativi e rileva e valuta i fabbisogni; si occupa della redazione del Piano triennale delle attività formative, di ricerca e di autovalutazione degli uffici centrali e periferici del Ministero e del Piano annuale per la formazione. Progetta, gestisce e valuta le attività di formazione e aggiornamento professionale del personale; autorizza tutte le attività formative svolte presso le strutture del MiC;
- cura progetti di formazione internazionale e attività formative rivolte a personale esterno: coordina alcuni progetti internazionali nei settori in cui è riconosciuta l’esperienza e l’eccellenza italiana e in particolare quella degli istituti del Ministero. Svolge attività di supporto agli istituti centrali e periferici che ospitano tirocini. Promuove accordi con il MI e il MUR e altri enti nell’ambito della formazione di docenti e professionisti;
- si occupa dei profili professionali nei beni culturali: gestisce tutte le procedure relative all’individuazione dei professionisti competenti ad eseguire interventi sui beni culturali; cura inoltre la tenuta e l’aggiornamento dei rispettivi elenchi;
- coordina l’attività di quattro Istituti centrali del MiC: svolge funzione di coordinamento, di indirizzo e vigilanza sull’Istituto Centrale del Restauro, l’Opificio delle Pietre Dure, l’Istituto Centrale per la patologia degli archivi e del libro (presso i quali operano Scuole di Alta Formazione che rilasciano diplomi equiparati alla laurea magistrale in Conservazione e Restauro dei Beni Culturali con riferimento ai rispettivi percorsi formativi professionalizzanti) e l’Istituto Centrale per la Grafica.
Alcune evidenze
Molta della documentazione fa riferimento al MiBACT che è una nomenclatura non più utilizzata dal 2021: per l’esattezza con l’approvazione da parte del Consiglio dei Ministri del decreto di riordino delle attribuzioni dei ministeri, dal 26 febbraio 2021 il Ministero per i beni e le attività culturali e per il turismo ha assunto la nuova denominazione di Ministero della Cultura con il nuovo acronimo MiC.
Questo dettaglio è importante perchè alcuni documenti avrebbero conservato la denominazione MiBact e dalle date dei file trafugati è stato possibile ricostruire un periodo temporale che si stima andare dal novembre 2017 al maggio 2024. È un data breach esiguo, al punto da lasciar supporre che si tratti della piccola parte di un tutto che verrà rilasciato successivamente. Inizialmente ciò che aveva colpito era l’assenza do file password (ad esempio “password.txt”) ma il 19/07/2024 Mad Liberator ha caricato altri file e l’elenco si è riempito letteralmente di file del tipo:
Password1.txt
Password2.txt
Password3.txt
Mie Password.xls
Password caselle mail.doc
Password azienda XYZ.txt
Ci sono una decina di questi file con l’accesso a posta elettronica, servizi esterni e di ogni tipo. La DGERIC, che inizialmente sembrava non avere questa cattiva abitudine, ha dimostrato di essere in linea con le altre P.A..
Dalla documentazione si stima si possa trattare di assunzioni, comunicazioni legate a progetti e c’è persino un minuscolo archivio di posta in formato *.pst (30MB).
Mad Liberator sulla sua pagina, al momento della scrittura di questo articolo, ha solo 6 rivendicazioni di cui una è quella del Direzione Generale Educazione e Ricerca. È opportuno chiarire subito che, per quanto piccolo e apparentemente poco rilevante, rimane comunque un data breach, con l’esposizione di dati personali contenuti in documenti come ad esempio i curriculum di professionisti, i documenti identificativi, la documentazione di gara, le dichiarazioni documentali firmate, etc… È quindi un data breach che, per quanto irrisorio, ha comunque colpito una parte di un ministero alla quale hanno esfiltrato una porzione d’informazioni.
Al momento sul portale della DGERIC non vi è alcun avviso in merito al data breach, nè tantomeno sulla pagina del MiC Ministero della Cultura.
Conclusioni
Il data breach interessa un arco di tempo sufficientemente ampio (6 anni, 7 mesi, 24 giorni). Il materiale esposto in più tempi dimostra che anche la DGERIC, che inizialmente sembrava avesse avuto un contenimento dei danni, è stata colpita duramente. Parte di queste conseguenze, tuttavia, sono da ascriversi alla modalità con cui sono state conservate le password per l’accesso a servizi interni ed esterni, tra cui a servizi di protezione dei dati (rack, server, firewall, nas, etc…). Tali modalità sono completamente inadeguate e difformi dalla normativa vigente. Bisognerebbe anche capire di chi sono le responsabilità: se la scelta e gestione delle credenziali fosse a carico della DGERIC in prima persona o di un fornitore, di cui però la DGERIC è comunque responsabile. Nessuna normativa vigente consente di detenere le password di accesso a dati e sistemi, all’interno di comuni documenti non protetti né di adottare credenziali non sicure.
Aggiornamenti
19/07/2024 – Nuovi file aggiunti al data leak:tra password pubblicate e silenzio della DGERIC
Grazie ad una segnalazione di Ransomfeed è stato possibile appurare che i file presenti nel data leak (come si temeva) sono aumentati. Mad Liberator ne ha pubblicati degli altri ed è una letterale ecatombe di “file password” quella aggiunta al data leak da Mad Liberator, dimostrando la perplessità iniziale: i dati pubblicati non erano tutti. Si sono aggiunti, tra i nuovi, una decina di file di credenziali per l’accesso a servizi quali posta elettronica, servizi vari interni ed esterni alla DGERIC. Spicca, tra queste credenziali tenute in modo non conforme alla normativa, una in particolare che sembrebbe la scansione di un post-it su cui sono riportate nome utente e password. Sembrerebbe che alcune credenziali appartengano ai principali sistemi di difesa (come ad esempio i firewall) avessero complessità del tipo:
Apparat | Ubicazione | Nome utente | Password | Indirizzo IP |
---|---|---|---|---|
Firewall 1 | CED | admin | T0tt1 | 10.0.1.1 |
Firewall 2 | CED | admin | SpiderMan.1981 | 10.0.1.2 |
NAS | CED Palazz. B | admin | pupazzetto | 10.0.1.3 |
La maggior parte sarebbe quindi non conforme ai criteri di robustezza delle password. Ci sarebbero credenziali per l’accesso a dispositivi principali come server, NAS, software, applicazioni, firewall, ecc… di cui bisognerebbe accertare la provenienza perchè potrebbero essere state impostate, scritte e mantenute da uno dei fornitori della DGERIC. In particolare potrebbero essere state compromesse le password:
- Per l’amministrazione del sito della DGERIC
- Per Zoom
- Per Google Drive
- Per alcuni account i posta elettronica.
Ricordiamo che nel caso della ASST Rhodense gli hacker (era un collettivo diverso) hanno sfruttato la catena di fornitura per accedere ai servizi della P.A.
2024_07_17-08:12-Sul sito nessun avviso del data breach
Nel frattempo sul portale della DGERIC non sono riportate notizie sul data breach che a questo punto non coinvolge più solo la Direzione generale considerando che tra i file di password, ad esempio, ci sono quelli di accesso a servizi esterni sotto la gestione di terzi.
2024_07_17-14:43-Nuove news pubblicate ma niente sul data breach
Il mancato aggiornamento continua a persistere anche alle ore 14:43 la pagina web riportante tutte le comunicazioni si presenta aggiornata con una notizia del giorno 19/07/2024 ma non riporta avvisi dell’incidente informatico