I collettivi hacker LulzSecITA e Anonymous Italia si sono resi protagonisti di una diffusione di dati personali di oltre trentamila avvocati italiani, appartenenti agli ordini professionali di Roma, Matera, Caltagirone e Piacenza. Tra le vittime anche soggetti illustri, tra cui spicca la sindaca di Roma Virginia Raggi. Ad annunciare gli effetti dell'attacco sono stati gli stessi hacker (Anonymous spiega le ragioni con un post nel suo blog).
Gli archivi pubblicati mostrano dati personali in chiaro tra cui nomi utenti, le password, gli indirizzi e-mail e di residenza degli avvocati. Non solo: gli hacker sono penetrati anche nelle caselle e-mail PEC degli iscritti (come dimostrano proprio gli screenshot della casella PEC del Primo Cittadino di Roma).
Ciò che sconcerta maggiormente, almeno per chi vive questa notizia dall'esterno, è il fatto che le password "custodite" nei database non erano cifrate, ma in chiaro; oltretutto alcuni utenti utilizzavano combinazioni di password del tipo Admin - Admin.
Cosa accade ora?
Gli attacchi non sembrano essere ancora terminati. È quanto emerge, nemmeno troppo velatamente, dai tweet pubblicati sui profili dei collettivi hacker. Potrebbero quindi essere nuovamente prese di mira istituzioni legate al mondo giustizia.
Chiunque possieda un account di posta elettronica interessato dall'attacco, va da sé, è caldamente invitato a cambiare le credenziali di accesso.
Secondo la normativa in materia di protezione dei dati personali, nei casi di data breach di questa portata il titolare del trattamento (il Consiglio dell'Ordine) ha l'obbligo di notificare la violazione all'Autorità Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza (art. 33 GDPR), prendere nota dell'incidente nel registro "data breach", attivarsi in favore degli interessati (coloro a cui appartengono i dati sottratti) secondo il dettato dell'art. 34 GDPR comunicando i dettagli del problema che ha coinvolto il loro dati. Tutto ciò, in estrema sintesi, dovrebbe essere contenuto in un piano operativo predisposto dal Titolare del trattamento dei dati proprio per fronteggiare situazioni come questa.
Il presidente Consiglio dell’Ordine degli avvocati di Roma, Antonio Galletti ha dichiarato che «l'attacco rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria».
Update
È nel frattempo arrivata anche la comunicazione agli interessati da parte del Consiglio dell'ordine attraverso il sito istituzionale.
Dall'Autorità Garante si fa sapere che è stata avviata una istruttoria, ma che fin da subito emerge l'assoluta inadeguatezza delle misure di sicurezza correlate alla gestione del servizio PEC.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]