Un criminale ha violato diversi database di dati relativi alle vaccinazioni e li ha messi all’asta online, definendo il livello di sicurezza con cui erano custoditi “imbarazzante”
Cosa rubereste se foste un hacker in cerca di dati sensibili, in questo momento? Dati sanitari, probabilmente; e, nello specifico, quelli legati al vaccino potrebbero essere ancora più appetibili. Qualcuno ci ha già pensato e ha fatto breccia in una serie di database che contenevano dati vaccinali di milioni di italiani, mettendoli in vendita. A raccontarlo è ItalianTech, che ha segnalato la comparsa di un’offerta di vendita per questi dati sabato 12 giugno in un forum online per lo scambio di informazioni.
L’hacker anonimo ha scritto che ha raccolto i dati nell’ultimo mese e nei suoi archivi ci sarebbero quelli di oltre 7 milioni di utenti. Tra questi figurerebbero anche 6.5 milioni di indirizzi email e 5.3 milioni di password cifrate. L’utente ha fissato la base d’asta per la vendita in 5.000 dollari da pagare in criptovalute e ha pubblicato tre file come esempio della sua collezione.
Tra questi spicca il fatto che i dati riportati si riferiscano a professionisti iscritti all’Ordine nazionale degli psicologi, provenienti da diverse regioni d’Italia e contrassegnati dal numero di iscrizione. Oltre ai dati anagrafici e di contatto nella prima lista compare una data e un orario di “invio richiesta” che fa pensare alla prenotazione dei vaccini per Covid-19. Nel secondo file testuale accanto a circa 800 nominativi compare la dicitura “già positivo”.
Secondo quanto ha raccontato a Raffaele Angius, giornalista di ItalianTech che ha contattato l’hacker – che scrive in inglese – via Telegram, “i dati non provengono da un unico database, ma sono relativi alle vaccinazioni Covid e aggregati da diverse e molteplici fonti in cui mi sono introdotto”. Il criminale avrebbe anche trovato già due possibili acquirenti interessati.
L’hacker non ha rivelato quali bersagli ha colpito nè quali vulnerabilità ha sfruttato ma ha aggiunto che “il livello generale di sicurezza delle infrastrutture era imbarazzante: non fossi stato io, certamente ci sarebbe arrivato qualcun altro”. La Polizia postale sta indagando per accertare che i dati divulgati provengano da un’intrusione informatica e non siano solo una raccolta di dati già disponibili online.
Angius ha commentato la vicenda lamentando che in Italia non esistano programmi di ricompensa per hacker che trovano una vulnerabilità di un sistema e la rivelano, aiutando in questo modo a migliorare la sicurezza informatica di istituzioni e banche dati. Sistemi di ricompensa di questo tipo sono invece sempre più diffusi in tutto il mondo.
Leggi anche