Lulzsec e Anonymous dichiarano di aver bucato l’intranet, ottenendo i dati di 2.400 dipendenti e 600 pazienti. L’ospedale nega la violazione
I di hacktivisti Anonymous Italia e LulzSec Ita ha compiuto una violazione della rete intranet dell’ospedale San Raffaele di Milano entrando in possesso di informazioni sensibili del personale sanitario e dei pazienti della struttura. A rendere nota la violazione sono stati gli hacktivisti tramite una serie di tweet.
Beh che dire.. @SanRaffaeleMI, avete comunicato al Garante il #databreach di due mesi fa? Visto che avete già chiuso tutte le vulnerabilità.. anche se troppo tardi ? #StayTuned #GDPR #Hacked #Anonymous #LulzSecITA pic.twitter.com/ulu0CUBPxh
— LulzSecITA (@LulzSec_ITA) May 20, 2020
L’attacco sarebbe avvenuto nella seconda metà di marzo. Dopo poche settimane i tecnici del San Raffaele avrebbero mandato offline i sottodomini colpiti, ripristinando la rete e aggiustando le falle sfruttate dagli hacktivisti per effettuare il databreach. A Wired gli hacktivisti hanno spiegato di non aver pubblicato nulla prima a causa dell’emergenza Covid-19.
Con la violazione gli hacktivisti hanno sottratto migliaia di informazioni personali di pazienti e personale ospedaliero. Nel dump sono presenti 2.400 indirizzi email accompagnati dalle relative password appartenenti ai sanitari e un elenco di nomi, cognomi, date di nascita, codice fiscale, nazionalità e comune di residenza di oltre 600 pazienti.
Secondo le norme del Gdpr, il regolamento europeo della privacy, l’ospedale avrebbe dovuto comunicare entro 72 ore dall’attacco al Garante per la privacy di aver subito un data breach e informare le vittime. Cose che, secondo gli hacktivisti, non sono mai avvenute. Fonti interne all’ospedale hanno confermato a Wired che le email presenti nel dump sono effettivamente quelle aziendali del personale ma di non aver mai ricevuto alcun avviso da parte della struttura riguardo a un cambio delle password per via della possibile violazione.
I vertici del San Raffaele hanno smentito l’accaduto in una nota ufficiale. Come riferisce Repubblica l’azienda ha fatto sapere che “la situazione a cui si fa riferimento, riportata da fonte non attendibile, si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile. I nominativi di molti operatori sono pubblici per ragioni di servizio. La direzione dell’ospedale è già in contatto con gli organi competenti per fornire ogni utile chiarimento. Si tratta di informazioni relative a un’applicazione per un corso di formazione dismessa da anni e circoscritta, che aveva password e utenze dismesse”.
Ultima chiamata @SanRaffaeleMI pic.twitter.com/jziVfAi66Q
— LulzSecITA (@LulzSec_ITA) May 22, 2020
Anonymous e LulzSec_Ita ora hanno minacciato di rendere pubblici tutti i dati se l’ospedale non si assumerà le sue colpe. Azione che, pur mettendo sotto i riflettori chi per primo sembra non essere stato in grado di proteggere quei dati sensibili, potrebbe d’altro canto mettere a rischio la privacy dei pazienti o del personale coinvolti.
Leggi anche