Ordine degli Avvocati sotto attacco: fuoriuscita di dati senza precedenti

Indice

Ieri era stato annunciato un attacco “multiplo” sia per target, sia per durata. Cinque giorni di attacchi nei quali saranno pubblicati i risultati di importanti data breach: credenziali e dati di autenticazioni le cui password sono in state memorizzate in chiaro, contrariamente a qualsiasi disposizione di legge (e buon senso).

Nota: questo articolo subirà aggiornamenti dopo ogni attacco e ad ogni novità. Nei prossimi cinque giorni consigliamo di visitare questo link periodicamente per scoprire eventuali cambiamenti.

Indice degli attacchi

Giorno 1 – Ordine Avvocati di Matera e Caltagirone

Giorno 2 – Ordine Avvocati di Piacenza

Giorno 2 – Ordine Avvocati di Roma

Giorno 1: Ordine degli Avvocati di Matera e Caltagirone

https://twitter.com/LulzSec_ITA/status/1125403555295313920

Il primo giorno, come descritto anche in questo articolo, sono stati colpiti l’Ordine degli Avvocati di Matera e quello di Caltagirone. La notizia è grave, a mio avviso, per due ragioni:

  1. Gli avvocati maneggiano dati basati sul segreto professionale. Avere accesso a nomi utente, password e quanto altro è grave ed espone il legale (ma soprattutto i clienti) a pesanti conseguenze.
  2. Ci si aspetterebbe che la sicurezza sia più elevata, soprattutto in questa categoria professionale che, invece, si propone come esempio di mala-sicurezza.

Giorno 2: Ordine degli Avvocati di Piacenza

Il secondo giorno è stato colpito l’Ordine degli Avvocati Piacenza con un tweet che riporto di seguito per maggiore chiarezza.

https://twitter.com/LulzSec_ITA/status/1125676310464999425

Anche qui i dati pubblicati mostrano una selezione delle password a dir poco ridicola. Con la totale assenza, in taluni casi, delle misure minime atte a garantire la forza di una password (caratteri casuali, alfanumericosimbolici, con maiuscole e minuscole e una lunghezza minima di 8 caratteri).

Giorno 2: Ordine degli Avvocati di Roma: violate le PEC degli avvocati ma non solo…

https://twitter.com/LulzSec_ITA/status/1125736802143412224

Intorno alle 14:40 LulzSec_ITA pubblica una notizia estremamente grave: oltre 30.000 credenziali di PEC @ordinedegliavvocatiroma.org sono state trovate e diffuse online. Ci sono indirizzi confermati di avvocati conosciuti ma anche del Sindaco di Roma Virginia Raggi. È un colpo durissimo che apre una falla di sicurezza senza precedenti per l’Ordine degli Avvocati di Roma.

Nello specifico ci sono data breach provenienti dai servizi VISURA di cui, in una tabella apposita, risultano esserci anche le credenziali di accesso amministrative che vengono riportate opportunamente oscurate.

È oggettivamente un attacco senza precedenti. Sempre nell’archivio è contenuta corrispondenza privata proveniente direttamente dal Sindaco Raggi e da altri legali: email, allegati, immagini.

LexTel e Visura chi sono?

I servizi telematici per l’avvocatura sono erogati da LexTel della Visura S.p.A. società soggetta alla direzione e coordinamento di Tinexta S.p.A. Visura si occupa di visure telematiche, PEC, Firma Digitale, processo telematico, condivisione documenti e informazioni (servizio Condivisura).

CondiVisura è la prima community per avvocati che, oltre ad offrire un servizio di richiesta telematica delle visure camerali, permette la condivisione di documenti e delle informazioni.

Fonte: https://www.visura.it/condivisura/

Le Reazioni

«L’attacco informatico subito dall’Ordine degli Avvocati di Roma rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’Istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza – il dice presidente del Consiglio dell’Ordine degli Avvocati di Roma Antonino Galletti -. In questo momento, i tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine forense romano sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili saranno naturalmente denunciati all’autorità giudiziaria».

Fonte: Il Messaggero

La parola agli avvocati

Tra tutti i commenti letti ne inserisco uno pubblicato direttamente sul blog di Anonymous (grazie @evaristegal0is) per averlo portato all’attenzione. Penso si commenti da solo.

E nel frattempo, 24 ore dopo l’attacco, il Tribunale di Roma si prepara a tornare al cartaceo, contando i molti disservizi che hanno afflitto e stanno affliggendo il servizio LexTel.

Aspetti legati all’attacco

Incrociando i dati degli attacchi del 1° e del 2° giorno ho potuto avere la conferma di un sospetto. L’amministratore del servizio visure è il medesimo sia che si parli di Roma, che di Piacenza e Caltagirone.

Questo potrebbe significare (ma non vi sono evidenze) che con la medesima password di amministratore è possibile avere accesso alle tabelle dei vari ordini in tutta Italia. Se così fosse, questo potrebbe aver comportato l’acquisizione dell’intera banca dati da parte degli hacker e quindi tutte le misure attuali di “reazione” sarebbero inutili ad arginare quanto già fatto. Sul sito della LexTel, in serata, è comparso l’avviso di verifica del servizio PEC, benché non ne sia specificata la natura. La speranza è che i controlli siano seguiti da una completa e precisa segnalazione al Garante come previsto dall’art. 33 del GDPR.

Sulla “faccenda Raggi”

Il problema legato alla Raggi si potrebbe imputare non solo ai contenuti (in taluni casi sicuramente poco edificanti) delle PEC ma anche nell’impiego completamente errato del mezzo PEC, utilizzato per inviare comunicazioni non afferenti la pratica forense.

Ciao Virginia, non farti ingannare dalla mia Pec: non sono un avvocato, lo faccio solo per campare. Mi occupo invece di poesia da trent’anni», «la pratico anche in strada, assieme ad un acquerellista di Milano»

Fonte: Messaggero (LINK)

Si ricorda che nell’archivio del data-breach pubblicato ci sono anche archivi di mail di vari avvocati, includenti riferimenti a clienti e dettagli sui procedimenti.

…relativamente al procedimento penale a mio carico

Contenuto di una mail

Si tratta anche di procedimenti penali, che hanno risvolti più “delicati” rispetto a quello civile. Il termine “penale” ricorre 267 volte all’interno delle mail trafugate (escludendo gli indici delle mail).

La mappa degli attacchi

Gli attacchi segnalati da LulzSec_ITA sono stati riportati su una mappa. Eccone la rappresentazione (clicca sull’immagine per ingrandirla).