L’attacco al Comune di Gonzaga è grave

È passato quasi in sordina l’attacco al Comune di Gonzaga da parte del collettivo LockBit ma all’interno dei dati esposti ci sono informazioni delicate anche in merito a minori neonati.

Gonzaga è un comune lombardo di circa 8500 abitanti che nelle scorse settimane ha subito un attacco ransomware da parte del gruppo LockBit. Il mancato pagamento del riscatto ha portato la pubblicazione dei file sottratti che, sorprendentemente, sono particolarmente delicati.

Dati dei neonati

All’interno dell’archivio sottratto al Comune di Gonzaga ci sono alcuni file che fanno riferimento all’anagrafe comunale, tra cui le credenziali di accesso salvate in un documento Word. Purtroppo tra i file sottratti ci sono anche numerose tabelle excel che riportano i dati anagrafici dei nuovi nati.

Si tratta di tabelle Excel in cui viene riportato non solo il nome e il cognome ma anche la data di nascita e l’indirizzo di residenza. Le informazioni sono suddivise su più file, tutti liberamente scaricabili dal portale del collettivo hacker. A quanto si deduce piuttosto chiaramente dai file Excel, gli anni interessati sarebbero 2015-2016-2018-2019

Le tabelle che raccolgono i dati anagrafici dei neonati

Credenziali di accesso ai sistemi, di SPID e documenti di identità

Ulteriori credenziali sono quelle che si riferiscono ai sistemi informatici deputati alla gestione dell’anagrafe del Comune, di seguito viene mostrato un documento (opportunamente occultato) nel quale erano presenti le credenziali di accesso.

All’interno di alcune cartelle sono state trovate anche le credenziali per lo SPID, depositate in cartelle di utenti e racchiuse in un documento word senza alcuna protezione (nemmeno la password di apertura). Insieme alle credenziali è presente anche la documentazione del provider di riferimento della persona fisica, con tutti i dati personali necessari alla sottoscrizione dello SPID.

Inoltre sono presenti anche copie di documenti di identità come CIE (Carte di Identità Elettroniche) di cui si riporta un esempio opportunamente occultato.

Non fa eccezione nemmeno il CED (Centro Elaborazioni Dati) del Comune: anche lui con credenziali lasciate su file TXT senza alcuna protezione; di seguito si riporta un esempio opportunamente occultato.

Ed in effetti la cartella CED è tra quelle esfiltrate dal gruppo LockBit con tutta una serie di contenuti abbastanza chiari: informazioni sul cablaggio, informazioni sugli utenti (senza credenziali per quanto è stato possibile notare), informazioni sulla struttura delle cartelle, informazioni su gare e acquisti, etc…

I file della Polizia Municipale

Di particolare entità sono i file della Polizia Municipale, presenti in directory come quella

gruppi/polizia municipale/agenti

Nella quale sono presenti le password di accesso a diversi servizi (di seguito si riporta solo una minore quantità di quelle presenti nel file).

Sono inoltre presenti file afferenti abusi edilizi riscontrati dalla stessa municipale, segnati tutti nell’apposita cartella “abusi edilizi – materiale da ufficio tecnico”

Ma probabilmente l’evidenza più delicata sono i verbali degli agenti di polizia municipale depositati dentro alle cartelle.

In taluni casi questi verbali riguardano anche lo stato di salute di minori per i quali gli agenti di polizia si sono attivati per i necessari controlli.

La posizione del Comune

Sul portale del Comune di Gonzaga è stato pubblicato un comunicato ufficiale, il problema del comunicato è che quanto riportato appare difforme da quanto pubblicato dagli hacker. Si legge infatti:

Tali dati sono stati del tutto ripristinati e il servizio è ripreso regolarmente. Allo stato attuale non si dispone di prove che evidenzino che le informazioni personali siano state sottratte e utilizzate per arrecare un danno, ma si sottolinea che vi è stata una indisponibilità dei dati solo temporanea, in quanto ripristinati la sera stessa.

Fonte: Comune di Gonzaga

Non si è trattato, infatti, solo di una indisponibilità di dati temporanea. Dati personali di minori, carte di identità, atti giudiziari, credenziali di accesso a servizi, credenziali in merito alle identità digitali, sono elementi di elevata delicatezza che, in mani sbagliati, possono arrecare danni. Questi dati sono stati sottratti dai sistemi del Comune di Gonzaga e resi disponibili pubblicamente al mancato pagamento del riscatto.Per trasparenza si riporta anche lo screenshot eseguito al comunicato.

Non vi è stato alcun aggiornamento di questo comunicato, il che fa supporre che per il Comune di Gonzaga il data breach si sia chiuso con le conclusioni presentate all’interno di questo comunicato.

Come si può notare la “Comunicazione Data Breach” è l’unico riferimento all’incidente occorso

Conclusione

Il materiale da verificare è molto ma l’analisi fin qui condotta è sufficiente per determinare la gravità dell’attacco e della successiva pubblicazione dei file. Rimane molta perplessità in merito alla mancanza di adozione di misure minime di sicurezza utili per proteggere credenziali, file delicati come verbali della polizia locale o legati alle identità digitali. Senza entrare in fattori di polemica con il Comune di Gonzaga, per quanto sia comprensibile la struttura di cartelle che ha portato gli operatori a salvare i file all’interno delle varie directory, è altrettanto dubbia la logica con la quale un file delicato come il verbale di un agente di polizia venga messo accanto al piano ferie senza alcuna protezione dall’apertura (anche accidentale) da parte di personale non autorizzato.


Aggiornamenti

15 novembre 2021

Intorno alle ore 09:15 è stato controllato lo stato di pubblicazione dei file che ora risultano nuovamente online.

14 novembre 2021

Intorno alle ore 20:00 il portale di LockBit non mostra più i file pubblicati del Comune di Gonzaga.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

4 commenti su “L’attacco al Comune di Gonzaga è grave”