Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Attacco hacker al patronato INAS-CISL. Online i dati di 37.500 utenti
L’attacco è stato portato dal gruppo LulzSecITA. Sul Web sono stati pubblicati i dati personali, le email, i numeri di cellulare e le password del sito.
Un attacco nei confronti del sito Web del patronato INAS-CISL ha portato al furto (e alla pubblicazione) dei dati personali di 37.500 persone, tra cui numerosi impiegati di ministeri e agenti della Polizia di Stato. A rivendicarlo su Twitter è il gruppo LulzSecITA, che nel tweet ha inserito anche il link per scaricare il database.
Il gruppo, affiliato ad Anonymous Italia, aveva fatto parlare di sé in altre occasioni. La più clamorosa lo scorso febbraio, quando ha sottratto e pubblicato il contenuto di alcuni server della Lega Nord, comprese alcune email personali di Matteo Salvini.
Questa volta, però, la strategia degli hacktivist è piuttosto difficile da capire. Nel loro tweet giustificano l’attacco come una sorta di “azione dimostrativa contro il potere”, simile a quella che li ha spinti a prendere di mira il Ministero della Salute lo scorso luglio.
Peccato che INAS, nonostante il nome (Istituto Nazionale Assistenza Sociale) non sia un’istituzione legata al governo, ma il servizio di patronato che fa riferimento al sindacato CISL. Insomma: se l’idea era quella di prendersela con il potere costituito, a questo giro i membri di LulzSecITA hanno preso un discreto abbaglio.
Tanto più che il leak è di quelli che possono provocare grossi problemi. I dati pubblicati contengono nome e cognome degli iscritti al patronato, informazioni sulla loro posizione lavorativa, email, password dell’account e numero di cellulare.
A farne le spese saranno in primo luogo gli utenti, che da questo momento possiamo considerare a rischio hacking su qualsiasi servizio. Vista l’abitudine (deprecabile, ma ancora molto diffusa) di utilizzare la stessa password per più servizi, è infatti probabile che molti di loro pagheranno cara la bravata dei LulzSec.
E i problemi potrebbero essere anche più gravi per alcuni di loro. Tra i nominativi, infatti, ce ne sono parecchi che fanno riferimento a indirizzi email del Ministero di Giustizia, del Ministero dell’Interno e anche della Polizia di Stato.
Dalle parti di INAS, nel frattempo, sembrano non essersi accorti di nulla, ma è difficile che possano ignorare la vicenda per molto tempo. Guardando il materiale pubblicato dai LulzSecITA, infatti è lecito pensare che tutti i dati fossero conservati in chiaro, senza alcuna forma di crittografia o salt. Insomma: in chiara violazione di quanto prescritto dal nuovo regolamento GDPR.
Resta da verificare se questi siano gli unici dati a cui gli hacker hanno avuto accesso. Trattandosi di un servizio di patronato, infatti, è probabile che sui server di INAS ci siano anche altri documenti sensibili, come le dichiarazioni dei redditi.
Non solo: considerati tutti i meccanismi di detrazione previsti dal sistema fiscale italiano, è possibile che sui sistemi di INAS ci possano essere anche documenti medici o di altra natura. Una potenziale apocalisse della privacy.
***AGGIORNAMENTO
L’INAS ci ha inviato una nota, che riportiamo di seguito, per chiarire i dubbi che abbiamo espresso in fondo all’articolo:
In relazione all’articolo da voi pubblicato ieri sull’hackeraggio al sito www.inas.it, ci preme precisare che – a differenza di quanto da voi ipotizzato – gli utenti dell’Inas Cisl ricevono assistenza previdenziale esclusivamente nelle nostre sedi e che i loro dati non sono registrati sul database del nostro sito web.
Ci preme inoltre sottolineare che il nostro sito riporta in evidenza un avviso per gli utenti in merito al problema creato al sistema.
Per una informazione corretta vi chiediamo cortesemente, pertanto, di rettificare il contenuto dell’articolo eliminando le inesattezze, per evitare la diffusione di notizie errate in una fase in cui stiamo lavorando per tutelare i nostri utenti dopo l’accaduto, in merito al quale sono state avviate tutte le procedure di verifica necessarie.
Condividi l'articolo
Tesla apre ai test di hacking. “Se l'auto si blocca, la ripristiniamo”
Hackerata l’estensione MEGA per Chrome
Articoli correlati
Altro in questa categoria
One thought on “Attacco hacker al patronato INAS-CISL. Online i dati di 37.500 utenti”
Leave a Reply
Devi essere connesso per inviare un commento.
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
Non vorrei fare il puntualizzante ma la legge sulla privacy prevede la crittografia di dati sensibili, non dati personali… quindi tecnicamente i dati erano conservati secondo la normativa… altra questione è quella della password… dove c’è ancora un acceso dibattito.. dove effettivamente la buona norma prevederebbe la codifica.. ma potrebbe anche essere stata decodificata dagli attivisti….