Napoli
Attacco hacker al sito del Comune di Napoli, “Palazzo San Giacomo lo comunica dopo 19 giorni”
Il sito del Comune di Napoli è stato preso di mira da un hacker, Carnage00666, che è entrato in possesso di migliaia di dati sensibili di cittadini ed utenti registrati. Il pirata informatico, che ha ringraziato anche il ‘collega’ SOAP, ha dimostrato la totale inaffidabilità del sito del Comune e l’inadeguatezza della gestione dell’emergenza da parte dell’istituzione che ha comunicato la cosa con ben 19 giorni di ritardo rispetto alla messa online dei dati dello scorso 27 maggio. Ne abbiamo parlato con il data journalist Livio Varriale che è venuto in possesso dei dati e li ha potuti visionare.
Cosa è successo al sito del Comune?
Il 15 giugno il Comune di Napoli ha inviato una nota ai suoi utenti per comunicare la violazione del sistema informativo degli utenti iscritti alla newsletter e invitato a cambiare la password per l’accesso all’area riservata del sito. Pochi minuti dopo ha deciso unilateralmente di cambiare le password per evitare che altri utenti potessero avere accesso non autorizzato.
Quali dati sono stati violati?
Purtroppo i dati violati sono stati tantissimi e nella fattispecie c’è la possibilità di avere una struttura composta da nome, cognome, email, password e user e altre impostazioni e fanno riferimento ad iscritti addirittura del 2006. Quindi parliamo di un archivio di circa 15 mila nominativi. Tra questi anche quelli di giornalisti, consiglieri e dipendenti comunali.
Quali sono i rischi e di chi sono le responsabilità?
Guardando il contenuto dell’archivio, che è facilmente reperibile in rete, si può constatare le responsabilità sono di chi ha gestito il database. Questo perché le passrword sono in chiaro, quindi il pirata informatico non solo ha avuto accesso al database e alla struttura del database ma ha anche le password degli utenti.
Basta cambiare le password?
No. Il Comune dovrebbe informare tempestivamente gli utenti e questa cosa il Comune pare che non l’abbia fatta. Infatti il post pubblicato all’interno del forum risale al 27 maggio e i pirati informatici potrebbero aver effettuato delle ricerche OSINT per capire se gli indirizzi mail sono associati ad altre password per altri siti e se un utente usa la stessa password su più piattaforme potrebbero aver avuto accesso ad altre piattaforme.
Che valore hanno questi dati per chi li ha violati?
Hanno un valore potenzialmente grosso poiché parliamo di un comune molto grande e della terza città d’Italia di grande interesse per la politica nazionale. Il fatto che siano stati diffusi in rete gratuitamente è un atto di dimostrazione delle falle del sito. Possiamo definire il Comune fortunato poiché gli attivisti hanno fatto un’azione di dimostrazione. Chi però ha ora questi accessi potrebbe aver avuto accesso alle altre piattaforme e in quel caso il danno sarebbe notevole.
Cosa potrebbe fare il comune per migliorare la sicurezza?
Dovrebbe dare un occhio a tutti i database come sono strutturati per tutelare i propri utenti. La violazione è avvenuta non con un’azione informatica notevole per cui dovremmo riflettere sul fatto che il sistema non era solido. Proprio Anonymous quasi ogni giorno viola diversi siti istituzionali, oggi è capitato alla camera di commercio di Roma, e questo dovrebbe allertare tutti i gestori dei database pubblici
Ci potranno essere class action o richieste risarcimenti?
Non potrebbero esserci a meno che non sia dimostrato che queste azioni abbiano generato ulteriori danni. Certo in questi casi il GDPR parla chiaro e prevede una tempestiva comunicazione della violazione. Non sappiamo quando il Comune abbia avuto la segnalazione ma sono passati 19 giorni, quasi 3 settimane, ed è grave che il Comune non verrà perseguito.
LA COMUNICAZIONE DEL COMUNE DI NAPOLI – Nel fine settimana appena trascorso il Comune di Napoli è stato informato attraverso una email del CSIRT italiano – https://csirt.gov.it/home – di un possibile attacco informatico ai server su cui è ospitato il sito web istituzionale www.comune.napoli.it.
Il CSIRT ha informato che sul sito Internet raidforums.com risultavano pubblicati i dati personali degli utenti registrati al sito www.comune.napoli.it (nome, cognome, email, username e password di accesso alla sola community web del portale, cioè alle newsletter presenti sul sito istituzionale ).
Non appena ricevuta la segnalazione del CSIRT il Comune di Napoli ha attivato la società che si occupa della gestione dei server e del software per la gestione dei contenuti del sito effettuando, in tempi rapidissimi, nell’ordine di poco meno di due ore, il cambio massivo automatico delle password di tutti gli utenti – esclusivamente quelli iscritti alle newsletter – del sito www.comune.napoli.it inserendo, per ciascuno di essi, una password complessa costituita da una stringa casuale di 32 caratteri criptata.
La vulnerabilità coinvolge, insomma, solo una specifica applicazione del sito ( e cioè l’accesso alle newsletter ) che è stata ovviamente messa subito offline.
I dati personali oggetto dell’attacco sono da considerarsi comuni e le credenziali di autenticazione consentivano unicamente di accedere al sito per usufruire del solo servizio di newsletter. Nessun ulteriore dato personale dell’utente, rispetto a quelli sopra indicati, era accessibile in seguito all’autenticazione.
E’ stata inviata agli utenti una comunicazione via email relativa alla violazione di sicurezza invitandoli a reimpostare la propria password per il sito www.comune.napoli.it e suggerendo agli stessi di cambiare le credenziali di accesso anche per altri siti o piattaforme solo nel caso in cui avessero utilizzato le stesse credenziali (nome utente e password) usate per l’iscrizione alla newsletter.
Il Comune ha notificato anche al Garante per la privacy la violazione dei dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 ed ovviamente presenterà nelle prossime ore dettagliata denuncia alla polizia postale per reati telematici.
© Riproduzione riservata
