Più di 7mila password per entrare nei siti del Pd erano salvate senza protezione

Il Garante della privacy fa luce sull’attacco ai sistemi di alcune sedi del Partito democratico in cui sono stati esposti dati personali e informazioni riservate. Come è andata a finire

Anonymous Italia viola 8 siti del Partito Democratico pubblicando oltre 220 database (fonte:Anonymous italia)

Lo scorso 6 ottobre gli hacker di Anonymous Italia hanno diffuso online i dati sottratti dai database di alcuni siti internet del Partito democratico, in particolare quelli di alcune sedi dell’Emilia Romagna e di Empoli. In un recente provvedimento, il Garante per la privacy ha fatto luce su alcune mancanze dell’azienda che aveva in gestione i siti web e ha indicato ulteriori richieste per sanare le vulnerabilità presenti e gestire il data breach. Al momento, però, non ha emesso alcuna sanzione economica.

Il caso

Nei dati trafugati e diffusi da Anonymous c’erano anagrafiche, numeri di telefono, indirizzi email e diverse tabelle con elenchi di transazioni relative al tesseramento dei cittadini. Il Garante ha avviato l’istruttoria dopo che l’azienda coinvolta nell’attacco ha notificato la violazione all’Autorità l’8 ottobre, segnalando come “obiettivo dell’attacco risultano essere i siti [di una formazione politica],” si legge dal provvedimento. La notifica è avvenuta anche grazie ad una segnalazione del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) del 7 ottobre che ha allertato l’azienda.

Gli esiti dell’ispezione del Garante hanno riscontrato diverse criticità sia per le misure di sicurezza non adottate, sia per la gestione del data breach e la comunicazione agli utenti.

Il tipo di attacco

L’attacco informatico è avvenuto grazie ad una vulnerabilità di tipo Sql Injection — come già indicato da alcuni ricercatori informatici in precedenza — che ha fornito l’accesso al database del server. Su questo server, però, non vi erano solo i siti indicati che facevano riferimento alle sedi del Pd, ma vi erano “circa ulteriori 200 siti.

Dei 219 database presenti, 109 contengono dati personali come dati anagrafici, contatti, credenziali di accesso e identificazione, e dati sensibili relativi ad opinioni politiche. Potenzialmente, anche questi database potrebbero essere stati compromessi: l’azienda infatti non ha sufficienti “elementi oggettivi atti ad escludere la compromissione” degli stessi. Dall’analisi del Garante sembra quindi emergere un quadro in cui l’azienda che gestisce l’infrastruttura di quei siti non sia in grado di valutare né il perimetro della violazione né di monitorare cosa sia avvenuto—la società ha dichiarato al Garante che non è stato possibile “ricostruire l’elenco delle url utilizzate durante la violazione.

Inoltre, dall’ispezione del Garante, si conferma la scarsa protezione delle credenziali di accesso: 7.364 password utilizzate per accedere alle aree riservate dei siti erano salvate in chiaro.

L’azienda ha dichiarato al Garante di aver prontamente risolto la vulnerabilità, introdotto meccanismi di cifratura per proteggere i dati conservati nel database, e imposto la modifica di tutte le password presenti—incluse quelle degli amministratori che erano invece già cifrate.

I rischi

Il Garante sottolinea il rischio che presenta la perdita di password salvate in chiaro, ribadendo come potenzialmente le stesse credenziali potrebbero essere state utilizzate dagli utenti anche per accedere ad altri servizi, esponendoli quindi ad ulteriori rischi.

I dati personali coinvolti nella violazione consentono facilmente di scoprire l’identità degli interessati, pertanto questa la violazione dei dati presenta un rischio elevato per i diritti e le libertà delle persone e, per quanto previsto dal Gdpr, richiede la comunicazione agli interessati. Questa comunicazione, però, non è mai stata effettuata dall’azienda per quanto riguarda i dati salvati in chiaro, si legge nel provvedimento.

È per questo motivo che il Garante ha richiesto all’azienda di comunicare la violazione agli interessati le cui password erano memorizzate in chiaro, descrivere le possibili conseguenze, e fornire “indicazioni specifiche sulle misure adottabili per proteggersi da eventuali conseguenze negative della violazione.

L’azienda in questione, la Antherica—come già indicato in precedenza in altri articoli e link di Anonymous Italia stessa—sul proprio sito indica tra le varie attività lo sviluppo del portale del Partito Democratico dell’Emilia-Romagna, quello del PD di Parma, di Empoli, di Rimini, e altri coordinamenti regionali utilizzando il sistema AnthericaCms e altri software per la gestione delle newsletter. Tutti questi siti erano al centro del data breach diffuso da Anonymous.

Wired ha contattato telefonicamente l’azienda, che ha confermato di aver ottemperato alle richieste del Garante in merito alla notifica agli interessati, ma non ha voluto aggiungere ulteriori dettagli su eventuali misure tecniche introdotte. La conferma dell’implementazione delle richieste è arrivata anche dal Garante.

Leggi anche

Potrebbe interessarti anche

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×

Iscriviti alla nostra pagina Facebook