Gli hacktivisti di LulzSec violano i sistemi dell'ospedale San Raffaele di Milano: cronaca di una giornata di smentite e attacchi
venerdì 22 maggio 2020
Tornano a colpire gli hacktivisti del gruppo italiano LulzSec, affiliati alla rete di Anonymous: ieri 21 Maggio hanno pubblicato su Twitter un estratto dei dati contenuti nei database dell'Ospedale San Raffaele di Milano. Con il tweet LulzSec, oltre a rivendicare pubblicamente l'azione, attacca frontalmente il San Raffaele sulla questione sicurezza dei dati: l'accesso ai sistemi ha consentito al gruppo di mettere le mani sui dati di migliaia di utenti, compresi infermieri e pazienti, con password in chiaro. In dettaglio hanno ottenuto 2400 indirizzi email del personale sanitario con tanto di password in chiaro e i dati (nom, cognome, codice fiscale, nazionalità, comune di residenza) di 600 pazienti. Inoltre la decisione di rendere pubblico il breach consegue al fatto che l'Ospedale non ha comunicato il breach al Garante Privacy entro le 72 ore previste dal GDPR, ma neppure agli utenti riguardati dall'esposizione dei dati.
Dal primo tweet, pubblicato alle 9.28 di ieri mattina, il gruppo di hacktivisti ha iniziato una vera e propria escalation, sfidando apertamente l'Ospedale che, ad ora, pare non avere ancora effettuato nessuna notifica come previsto da legge: inizia un turbinio di tweet contenti ulteriori prove del breach. In mezzo finisce pure il noto virologo Roberto Burioni, dipendente del San Raffaele: LulzSec ha messo le mani anche sulla sua password in chiaro, ma il gruppo ha voluto ribadire quanto quella password sia il più classico esempio di password debole da non usare mai.
Gli screenshot pubblicati da LulzSec mostrano come, nei fatti, i dati del San Raffaele siano conservati senza neppure i minimi requisiti di sicurezza, quindi in aperta violazione del GDPR: il breach dovrebbe essere avvenuto a fine Marzo, ma il gruppo non ha voluto pubblicare prima i dati coerentemente a quanto deciso a inizio pandemia, quando LulzSec e Anonymous Italia avevano annunciato la sospensione di tutti gli attacchi per rispetto allo stato di emergenza.
Tra i dati pubblicati risultano, oltre a screenshot dei database, anche molti file .csv che contengono informazioni sensibili come dati e i codici fiscali di chi si è presentato all'accettazione, oltre alle password e altri dati riferiti a medici e infermieri.
Dal silenzio, alla negazione all'ammissione
Quel che ha colpito immediatamente è stato l'assoluto silenzio del San Raffaele, ma anche il poco risalto dato dalla stampa all'evento, nonostante si tratti di un grave breach che ha di nuovo ribadito come in Italia ci sia un totale disinteresse sulla questione sicurezza dei dati. Il silenzio ha colpito ancora di più perchè LulzSec ha già effettuato simili operazioni: nel Dicembre 2018 avevano già colpito diverse ASL italiane (Viterbo, Rieti, Caserta) e l'Ospedale San Giovanni di Roma. Dal 2018 ad oggi pare non esserci stato alcun avanzamento.
La direzione del San Raffaele, dopo il silenzio, ha inviato ad alcune testate giornalistiche un breve comunicato stampa, comunicato del quale non c'è traccia sul sito ufficiale:
"La situazione a cui si fa riferimento, riportata da fonte non attendibile, si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile. I nominativi di molti operatori sono pubblici per ragioni di servizio e le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse. La direzione dell’Ospedale è già in contatto con gli organi competenti per fornire ogni utile chiarimenti"
LulzSec, appena letta la smentita ripubblicata da alcuni giornali online, ha iniziato a pubblicare nuovi dati contestando la definizione di dati sensibili: accedere ai database non è accedere a dati sensibili?
Ma questa appassionante storia non finisce qui: il primo comunicato del San Raffaele viene modificato con l'aggiunta di una frase che, infine, ammette la violazione dei sistemi negata in precedenza. La frase aggiunta è questa: "le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse”
Insomma, alla fine l'accesso ai sistemi c'è stato e LulzSec commenta a pioggia criticando punto punto il comunicato della direzione. Per ribadire che "sono una fonte attendibile" pubblicano i dati dell'intranet dell'Ospedale, altri file .csv e uno screenshot che dimostra come il gruppo sia riuscito a creare ben 3 utenti su 3 diverse macchine.
Riguardo poi alla datazione dei database, se già non è buona prassi conservare dati in chiaro, ancora meno lo è conservare dei dati obsoleti in chiaro, oltretutto che il GDPR vieta apertamente la conservazione di dati ritenuti obsoleti perchè non più utili per alcuna finalità: questi andrebbero distrutti.