Data Breach per il Sole 24 Ore

Indice

LulzSec_ITA ha colpito ancora: oggi è stato pubblicato un tweet indicante un data-breach ai danni dell’assistenza clienti del Sole 24 Ore, prestigioso quotidiano nazionale che, però, non sembra aver colto la gravita degli attacchi degli ultimi anni…

https://twitter.com/LulzSec_ITA/status/1123203940974198784

Password a dir poco ridicole (ad es.: bimbumbam) esposte alla mercé degli hacker che non hanno esitato a darne notizia. Si tratta di 9 account con password assolutamente lontane dal rispettare i requisiti minimi di sicurezza. Il portale, s’intuisce dal pannello di controllo, darebbe accesso ad un elenco clienti che si ipotizza essere molto copioso considerando la notorietà del quotidiano. Vi riporto la schermata caricata su Twitter dal gruppo LulzSec_ITA con delle frecce messe dal sottoscritto per dare evidenza dei possibili archivi contenenti dati personali.

In quello che sembra un gestionale per l’amministrazione di sms e utenti, appaiono anche elementi legati all’editoria più spinta come “Amministrazione Scritta Scorrevole” o “Amministrazione Newsletter”. La problematica in questo caso potrebbe essere molteplice: da un lato c’è il rischio di esposizione e sottrazione dei dati utenti, ed inoltre ci potrebbe essere il rischio di alterazione delle informazioni pubblicate dal quotidiano.

L’amministrazione di un portale così “potente”, in grado di fornire accessi a più aspetti dei servizi offerti dal Sole 24 Ore, era per l’appunto protetta con password in chiaro e dalla complessità ridicola: una delle password era, per l’appunto “assistenza”. Questa parola, con un normale sistema di attacco a forza bruta basato su dizionario, sarebbe stata trovata in pochissimi secondi. Ecco quindi che ancora una volta, nonostante il GDPR, nonostante i passati casi di clamoroso insuccesso, la cyber security viene passata in secondo piano. A questo punto mi sembra chiaro che non resta che aspettare le sanzioni sperando che almeno lo spauracchio delle multe, possa insegnare cultura della sicurezza e rispetto dei dati degli utenti.

Grazie a TigerManRoot per aver prontamente letto e “corretto” le mie sviste! Scusate ma il tempo è poco ma la notizia è importante e andava data.