EdoardoLimone.com

Cybersecurity e altro ancora...

Depot Napoli: data breach

Indice

C’è stato un data breach contro un club per soli adulti nella città di Napoli, a rivendicarlo è stato uno dei collettivi più noti del panorama cybercriminale.

⚠️ Questo post è in aggiornamento, il contenuto potrebbe variare con il tempo. Si consiglia di visitare più volte l’articolo per rimanere aggiornati sulle notizie.

Avvertenza ai lettori

Considerata la particolare natura dei dati trattati in questo articolo, sarà posta particolare cautela nella gestione degli aggiornamenti futuri dell’articolo per rispetto e deontologia verso le parti coinvolte. Infine, ma non meno importante, invitiamo i lettori a considerare che al momento non sono state pubblicate le risultanze dell’attacco da parte del collettivo LockBit. In passato il collettivo ha anche sbagliato l’attribuzione di determinati attacchi, pertanto è opportuno tenere in considerazione questi fatti in questa fase preliminare.

Cosa è successo

l 15 gennaio 2026 il collettivo LockBit ha caricato sul proprio portale la rivendicazione di un attacco ai danni del fetish club Depot Napoli. Depot Napoli è un “fetish cruising bar” con sede a Napoli che si propone di organizzare eventi oltre che la possibilità di tesserarsi al club in quanto affiliato ASI (Associazioni Sportive Sociali Italiane).

La rivendicazione dell’attacco a Depot Napoli sul portale LockBit

Gli effetti di un eventuale data breach potrebbero essere altamente impattanti considerato che si tratta di un soggetto che tratta dati personali appartenenti alla sfera sessuale degli individui e quindi dati personali particolari. In particolare, se dovesse essere confermata la violazione dei dati, si tratterebbe della categoria “Dati relativi alla vita sessuale o all’orientamento sessuale” presente sul modulo di notifica (sezione 12 p).

È doveroso chiarire che al momento della scrittura del presente articolo (20/01/2026 ore 12:40 circa) il colelttivo LockBit non ha rilasciato file dimostrativi (i cosiddetti sample), la data pubblicazione dei file esfiltrati invece è prevista per il 30 gennaio 2026 alle ore 11:02:07 UTC.

Questo anche alla luce di quanto scritto in precedenza, ossia che il Depot Napoli permette il tesseramento dei suoi soci e tale processo si realizza mediante il gestionale Asso Facile. Cliccando sul link dedicato al tesseramento, presente sul portale di Depot Napoli, si viene reindirizzati ad un formulario dedicato nel dominio assofacile.it e per l’esattezza:

https://gestionale.assofacile.it/calendario/depotnapoli/iscriviti

Quali dati sono richiesti agli utenti tesserati

Tra i dati richiesti nella procedura di tesseramento ci sono i seguenti:

  1. Dati di base
    1. Nome
    2. Cognome
  2. Dati di Residenza
    1. Indirizzo
    2. Regione
    3. Comune
    4. C.A.P.
  3. Domicilio/Indirizzo per le spedizioni (se diverso da residenza)
    1. Intestazione (presso)
    2. Indirizzo
    3. Regione
    4. Comune
    5. C.A.P.
  4. Data di nascita
    1. Data
    2. Regione di nascita
    3. Comune di nascita
    4. C.A.P.
  5. Sesso
  6. Codice fiscale
  7. Telefono
  8. Cellulare
  9. Tipo di documento
  10. Numero di documento
  11. Documento emesso da
  12. Data emissione documento
  13. Data scadenza documento
  14. Email ordinaria
  15. Email PEC
  16. Allegato del documento

Avvisi e notizie ufficiali

Al momento non vi sono avvisi sul sito web del club. Non è stato rilasciano nessun comunicato nemmeno sulla pagina Facebook del club, il cui ultimo post è fermo al 12 gennaio ore 17:20.

Screenshot della pagina Facebook
Home Page del sito ufficiale

Non è quindi possibile sapere se l’attacco è stato confermato da Depot Napoli e se i soci sono stati correttamente allertati secondo le disposizioni normative.

Elementi di attenzione e possibili conseguenze del data breach

Certamente la più facile da immaginare sarebbe la perdita di riservatezza con impatti tutti da determinare e che al momento non è facile determinare. Sicuramente si configurerebbero i casi principali previsti dal Garante, ossia:

  • Divulgazione dei dati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento.
  • Possibilità di usare i dati per finalità diverse da quelle previste oppure in modo non lecito.

Tra gli impatti più rilevanti ci sarebbero, senza dubbio, la perdita del controllo dei dati personali unitamente alla discriminazione, pregiudizio alla reputazione e conoscenza da parte di terzi non autorizzati. A questo proposito è bene precisare che sul portale Depot Napoli non compare in home page alcuna informativa, nemmeno una privacy policy pur essendo presente un modulo di contatto e nemmeno una cookie policy nonostante il sito implementi Google Analytics tra i cookie.

Il modulo di contatto presente sul sito web

Il modulo di contatto, come riportato in foto, non contiene alcuna clausola di trattamento dei dati personali da accettare, né ulteriori informazioni che possano chiarire in che modo questi dati vengano trattati.

I cookie presenti in home page includono quelli di tracciamento

Tra questi spiccano i “_gcl_au” di Google Adsense per il tracciamento delle conversioni, per maggiori informazioni si verifichi qui ma soprattutto qui.

È prevista una privacy policy, invece, nel modulo di tesseramento che però presenterebbe delle gravi difformità. Il file PDF, infatti, sarebbe stato ottenuto da un’esportazione del programma Pixelmator Pro 2.1.3 (un programma di grafica per l’ambiente Apple) con una risoluzione così tanto scadente da risultare non chiaramente leggibile. Un risultato si potrebbe vedere già dallo screenshot qui riportato

Si può notare (con una certa difficoltà) la frase “Il Data Protection Officer (DPO) nominato dall’Associazione è il presidente a cui ciascun interessato può scrivere in relazione al trattamento dei dati svolto dall’Associazione e in relazione ai Suoi diritti“; per correttezza nei confronti dei lettori si riporta un collegamento diretto al file:

2025_01_20-DepotNapoli-Privacy Policy Tesseramento

Si tenga presente che il file è identificabile attraverso il seguente codice hash:

MD5dc99ca6a145f27de7b8ed696f0524cbc
SHA 512b3aaeeba79ee224d654ea21112a47ce63b7d48d261c91ae38a610d4420586d4d57c07b7e409d761514388e2da82893cae86aa59b82e45bcde8c276d36dbe135f

Cronologia eventi

15/01/2026 - Lockbit pubblica la rivendicazione.
28/01/2026 - Lockbit pubblica alcuni file trafugati dal Depot Napoli.
30/01/2026 - Data dichiarata dal collettivo LockBit per la pubblicazione dei file.

Aggiornamenti

30/01/2026 – Data di pubblicazione dei dati

Il 30 gennaio era la data che Lockbit aveva prescelto per pubblicare i dati trafugati al Depot Napoli e nel frattempo il portale web del locale non ha pubblicato alcun annuncio in merito all’accaduto. I documenti trafugati potrebbero quindi riguardare, per lo più la conduzione del locale e la gestione del personale, ma l’esposizione dei dati di eventuali membri appartenenti al club potrebbe rimanere un incognita.

28/01/2026 – Pubblicati alcuni file di esempio

LockBit ha pubblicato alcuni esempi dei file trafugati (sample) apparentemente di poco valore e tra l’altro con la presenza di censure in presenza dei nomi. Non è quindi chiaro quale sia realmente il patrimonio informativo in mano al collettivo.

Immagine di Edoardo Limone

Edoardo Limone

Ha svolto per 12 anni l'attività di consulente direzionale per le principali amministrazioni centrali del Paese, tra cui: Ministero della Difesa, Ministero di Giustizia ma anche per le principali Direzioni Generali dell'Unione Europea su progetti afferenti iniziative per la gestione di infrastrutture critiche. Consulente di Cyber Security nell'analisi di strategie atte a rafforzare consapevolezza e sicurezza tecnica all'interno delle infrastrutture ICT. Per maggiori informazioni leggere questa pagina.