Il criminale che ha trafugato i dati vaccinali di 7 milioni di italiani: “Livello di sicurezza imbarazzante”

Cinquemila dollari, da pagarsi in criptovalute: è questa la base d’asta con cui un anonimo criminale informatico sta cercando di vendere quella che sostiene essere una lista contenente i dati di oltre 7 milioni di vaccinati in Italia. L’annuncio è comparso per la prima volta a metà mattina di sabato 12 giugno, quando il trafficante di dati ha pubblicato su un forum online tre campioni dell’archivio, contenenti nomi, cognomi e altri dati personali di migliaia di persone. La bontà delle informazioni condivise a titolo di esempio è stata accertata da Italian Tech. 

Tuttavia, poco si sa sull’origine dei dati trafugati, dal momento che il criminale non ha voluto rivelare i dettagli tecnici delle vulnerabilità usate per acquisirli. 

“I dati non provengono da un unico database, ma sono relativi alle vaccinazioni Covid e aggregati da diverse e molteplici fonti che in cui mi sono intruso”, ha spiegato il venditore, che scrive in inglese, contattato da Italian Tech via Telegram per un commento.

In uno degli archivi divulgati, in formato testuale, compare un riferimento alla “data invio richiesta” e ciascuna delle date indicate risale a un periodo di tempo tra il 27 febbraio e l’8 marzo del 2021, come già scritto da Italian Tech. Per ciascuna data è indicato anche un orario, che fa ipotizzare si tratti di una lista automatica di iscrizioni e che potrebbe riferirsi proprio all’iscrizione per l’ottenimento del vaccino. Nel secondo file divulgato sono invece presenti oltre 800 identità, accompagnate dalla dicitura “già positivo”. 

“Non entrerò nel dettaglio delle singole vulnerabilità [né posso] rivelare quali bersagli ho colpito – aggiunge – ma posso dire che il livello generale di sicurezza delle infrastrutture [colpite] era imbarazzante: non fossi stato io, certamente ci sarebbe arrivato qualcun altro”. 

Inizialmente questa testata ha dato conto del fatto che la gran parte dei dati contenuti nei campioni erano riconducibili a cittadini iscritti all’Ordine nazionale degli psicologi, il quale tuttavia annovera solo 100 mila professionisti, molto lontani dai 7 milioni di persone asseritamente presenti nell’archivio ancora non pubblicato. È lo stesso criminale a chiarire che tale circostanza “è dovuta al fatto che i dati condivisi come campione provengono dalla stessa cartella”, aggiunge, alludendo alla presenza di altre cartelle.  

A dare ulteriore conferma è lo stesso Ordine nazionale degli psicologi che, rispondendo a una richiesta di commento, ha precisato di non essere in possesso delle informazioni vaccinali dei suoi iscritti e che non risulta alcuna intrusione nei suoi sistemi.

Il black hat (termine in gergo che definisce gli hacker cattivi, o dal “cappello nero”) ha anche rivelato che potrebbe aver già trovato due possibili acquirenti e che, serviti loro, non rivenderà l’archivio ad altre persone, per non svalutare i dati in esso contenuti. La trattativa sarà condotta da un intermediario, scelto dal criminale, e il pagamento avverrà tramite una criptovaluta di cui non vuole dare dettagli, per paura di fornire indizi alle autorità.

Secondo quanto riportato nell’annuncio della vendita, l’hacker malevolo sostiene di essere in possesso di migliaia di password, protette da cifratura, che tuttavia non ha incluso nei campioni pubblici in quanto “il tipo di cifratura utilizzata aiuterebbe a capire da dove provengono”, chiosa.

Contattata da Italian Tech, la Polizia postale ha assicurato che sta analizzando preliminarmente il caso per accertare che i dati divulgati provengano effettivamente da un’intrusione informatica abusiva o che non siano piuttosto frutto di una raccolta posticcia di informazioni precedentemente divulgate e dunque già reperibili online. 

Il riconoscimento agli hacker

Se in Italia esistesse un programma di ricompense per gli hacker che trovano una vulnerabilità e la rivelano in modo etico, forse certi episodi sarebbero più rari e meno gravi: a dircelo è lo stesso criminale informatico, in riferimento alla strategia delle cosiddette bug bounty (dall’inglese, “ricompensa per le vulnerabilità”). Sempre più diffuse in tutto il mondo, queste soluzioni incentivano le centinaia di migliaia di esperti informatici che navigano la rete ad avvisare i responsabili di un’infrastruttura qualora ne individuassero una vulnerabilità, in cambio di un riconoscimento simbolico o in denaro. 

Per sua stessa ammissione, il criminale che ha divulgato i dati di migliaia di cittadini italiani non si sarebbe avvalso di una ricompensa e avrebbe comunque preferito rivolgersi al mercato nero dei dati. Tuttavia, “senza dubbio questo avrebbe aiutato altre persone e in primis le vittime”, precisa: “Assumere personale qualificato a amministratori di sistema al posto di gente a caso sarebbe stato utile”. 

Fonte : Repubblica