Anonymous torna a farsi sentire e lo fa contro le trivellazioni petrolifere in Basilicata, compiendo una lunga serie di attacchi informatici ai danni della Pubblica Amministrazione in Basilicata. Gli hacktivisti sono riusciti ad avere accesso ai database della Giunta e del Consiglio Regionali ma anche dell'azienda di promozione turistica regionale e di diversi comuni della Val D'Agri, il sito prescelto per le future trivellazioni. Accusata numero uno è l' ENI: il comunicato col quale gli hacktivisti rivendicano l'attacco parla apertamente, infatti, di  "scempio, disastro, ecatombe, tutto firmato dall'italiana Eni". 

 

L'operazione segue di qualche giorno una serie di attacchi del gruppo LulzSecITA, affiliato ad Anonymous, che nelle scorse settimane ha attaccato  i sistemi dell'Università della Basilicata, di Napoli e di Roma 3, diffondendo poi i dati ottenuti e criticando apertamente la debolezza dei sistemi protettivi e la scarsa attenzione posta dagli atenei italiani nella protezione dei dati di studenti, docenti e dipendenti. 

 

 

E' il nome dato da Anonymous alla campagna di attacchi, ma l'ashtag usato è #OpLucania: l'operazione GreenRights infatti è in svolgimento in tutto il mondo e si registrano attacchi di tenore simile in altri stati. In Italia gli ultimi attacchi in ordine di tempo sono stati contro aziend e istituzioni di Taranto, della Val di Susa (e aziende ingaggiate per la costruzione della linea Tav), in Puglia per "l'affaire Xylella".

 

Nell'ultimo attacco, quello contro la PA della Basilicata, centinaia sono stati i record resi pubblici: nomi, cognomi, nomi utente, password, indirizzi email, ma anche l'elenco di 198 aziende lucane con annessi nomi, email, numeri di telefono, siti web, partita IVA, codice fiscale. Infine sono stati resi pubblici nomi utenti e password dei siti istituzionali di alcuni comuni della Val D'Agri, tra i quali  Pietra Pertosa, Rionero in Vulture, Missanello, San Martino d'Agri, Nova Siri.  Insomma, nomi e cognomi, credenziali di accesso, sono stati tutti pubblicati in chiaro su zerobin. La pubblicazione dei database amministrativi ha mostrato come fossero tantissimi gli utenti con password deboli o scontate oppure ancora con password di default o non modificate da anni. Per capire l'entità del breach pubblichiamo un estratto dal database della Giunta Regionale

 

LulzSec pro GDPR?

Gli attacchi delle scorse settimane portati da LulzSec, attivissimo collettivo italiano affiliato alla rete internazionale Anonymous, sono stati contro enti universitari. Gli attacchi sono stati molteplici e gravi dato che hanno portato anche alla violazione dell'intera infrastruttura di rete, quindi sono finiti divulgati su Megaupload anche alcuni contenuti trovati nell'intranet universitaria. Il 18 Gennaio è stata colpita l'Università della Basilicata. 

 

 

Il 31 gennaio invece è stato il turno dell'UniParthenope di Napoli, il 7 Febbraio invece di Roma 3. Bersagli casuali, fanno sapere da LulzSecIta, perchè la negligenza coi quali gli atenei trattano i dati e la mancanza di applicazione degli obblighi previsti dal GDPR è un problema diffuso, spiegano. I portali colpiti effettivamente sono basati su tecnologia ASP e IIS di Microsoft, ma in molti casi non aggiornati. Nel caso dell'università di Roma3, addirittura, si vede dalle tabelle pubblicate dagli hacktivisti come i dati di autenticazione siano in chiaro, quindi non conformi agli standard di sicurezza. 

 

Contattato dalla redazione della rivista securityaffairs.co, il gruppo Lulzsec ha fatto notare di aver portato i primi attacchi contro le università italiane, proprio per sollevare il problema della superficialità e negligenza coi quali sono trattati i dati personali, ben 9 anni fa. In questi 9 anni, hanno ribadito, nulla pare essere cambiato dal punto di vista della cybersicurezza. Anzi, al contrario, dicono, di fronte all'evidenza di un databreach si preferisce sempre minimizzare: così avrebbe fatto Uniparthenope, che ha inviato debita comunicazione a studenti e insegnanti soltanto dopo due settimane e minimizzando la portata dei dati esposti (nonostante Lulzsec affermi di essere acceduto a ben 27 database più alcuni portali in uso all'università). 

 

 

Intanto LulzSec ha già annunciato nuovi attacchi, sottolineando in questa nota come anche le notifiche della violazione dei propri dati a studenti e insegnanti siano avvenute in ritardo o non siano state affatto segnalate e come alcune fossero perfino in aperta violazione del GDPR.