Indica un intervallo di date:
  • Dal Al
©credits

Attacco hacker, 45mila identità rubate al sito della Funzione Pubblica

Quanto sono sicuri i siti della Pubbblica amministrazione italiana? Molto meno di quanto pensiamo. È questo il messaggio di Kapustkiy, un hacker che si descrive come un giovane russo e ama definirsi “The Bruce Lee of the internet“, che ieri ha raccontato su Pastebin di avere bucato il sito della Mobilità della Funzione Pubblica (adesso in manutenzione) prelevando 45mila identità con altrettante password.

Schermata 2016-11-19 alle 10.21.41Kapustkiy non ha pubblicato tutto il materiale ma solamente un campione di 9.300 user e password. Nel file xls pubblicato su Pastebin c’è un po’ di tutto, dall’Ordine degli avvocati di Milano a tantissimi comuni italiani.

L’attacco sarebbe avvenuto con quella che gli addetti ai lavori chiamano una Sql injection, una tecnica utile per aggredire le applicazioni di gestione dati in modo da far inviare a un destinatario l’intero database o parti di esso. Si tratta, in pratica, dell’immissione di alcune stringhe di codice che dirottano l’applicazione sfruttando la vulnerabilità del sistema. Una vulnerabilità, a detta degli esperti, abbastanza banale e che dovrebbe essere protetta in qualsiasi sito. A maggior ragione in uno governativo.

Kapustkiy non è nuovo a questi exploit già registrati nei confronti di siti del governo indiano e taiwanese oltre che di diverse ambasciate ma diverse persone nel mondo digitale italiano, registrano che l’episodio è avvenuto a pochi giorni dall’attacco Ddos al sito della campagna per il Sì, a contrasto del quale è intervenuto, anche Andrea Stroppa che ne ha parlato in un’intervista ad Agi.

L’ufficio stampa di Palazzo Chigi, contattato per un commento, per ora tace.