Anonymous: “Abbiamo bucato il San Raffaele”. L’ospedale: “App dismessa da anni, password obsolete”
Online i dati sanitari e degli impiegati, rivelano gli stessi autori dell’incursione informatica. Il fatto sarebbe avvenuto in piena emergenza Covid tra la metà e la fine di marzo scorso. Ma i responsabili del nosocomio: “Nessun accesso a dati sensibili”
di ARTURO DI CORINTO per La Repubblica del 21 Maggio 2020
Dopo aver bucato il portale web della direzione ospedaliera del San Raffaele di Milano gli Anonymous avrebbero avuto accesso all’intera Intranet e ai dati personali di impiegati, medici e pazienti della nota struttura di ricerca e cura. A rivelarlo sono stati gli stessi hacktivisti che hanno divulgato online le prove dei dati ottenuti con l’incursione informatica. Ma i responsabili dell’ospedale lombardo smentiscono con una nota ufficiale: “La situazione a cui si fa riferimento, riportata da fonte non attendibile, si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile. I nominativi di molti operatori sono pubblici per ragioni di servizio. La direzione dell’Ospedale è già in contatto con gli organi competenti per fornire ogni utile chiarimento. Si tratta di informazioni relative a un’applicazione per un corso di formazione dismessa da anni e circoscritta, che aveva password e utenze dismesse”. Quindi si tratterebbe di un’applicazione non legata ai sistemi dell’Ospedale.
Il fatto sarebbe avvenuto in piena emergenza Covid tra la metà e la fine di marzo scorso. E per questo motivo gli hacker attivisti hanno deciso di divulgare la notizia solo oggi accompagnandola con le schermate che la documentano e che Repubblica ha potuto verificare. Finito il lockdown, centinaia di nomi, cognomi, email e password di impiegati della struttura sono stati resi leggibili anche via Twitter oltre che sulle famose lavagne temporanee sul web come Pastebin, dove però ce ne sono migliaia. Motivo per cui diversi utenti hanno criticato aspramente la scelta degli Anonymous, accusandoli di non tutelare la privacy dei malcapitati.
Ma da lungo tempo questa è proprio la strategia degli anonimi: mettere all’indice tutti quelli che, incaricati di tutelare la privacy di utenti e clienti, non lo fanno, per dolo o per incapacità. Era già accaduto con la divulgazione dei dati d’accesso a 1581 siti web dei comuni di Calabria e Campania, con i dati degli studenti delle università napoletane e laziali e degli amministratori della giunta della Basilicata nell’operazione #GreenRights contro le trivelle.
Secondo gli Anonymous infatti, gli amministratori informatici erano consapevoli dell’accaduto e non hanno fatto nulla fino ad oggi per avvertire del databreach i dipendenti del San Raffaele e farli cambiare almeno la password. La prova? Dopo due settimane dal primo attacco sono stati messi offline i sottodomini colpiti, ripristinati in sicurezza solo dopo aver riparato la falla che aveva permesso l’incursione.
La scarsa sicurezza del sito e l’assenza di un’adeguata protezione dei dati degli utenti sarebbe quindi proprio il motivo per cui il collettivo senza nome ha deciso di pubblicare quei dati, minacciando di pubblicarne altri in giornata se il San Raffaele non comunicherà quanto avvenuto. In base alla Gdpr, la direttiva europea sulla protezione dei dati personali, il San Raffaele ha 72 ore prima di notificare il databreach al Garante per la privacy.
Da rimarcare che i dump, la copia dei database attualmente online e contenenti i dati sensibili degli impiegati del San Raffaele, presentano tutti le password in chiaro. Costruite sulla base del nome e cognome dei lavoratori. Tra i nomi presenti nei database trafugati ci sono anche i riferimenti alla web agency apparentemente incaricata di gestire gli accessi ai servizi informatici dell’azienda ospedaliera che ha un ufficio di rappresentanza anche negli Stati Uniti, in California. Tra i file trafugati – sostengono gli Anonymous – compaiono diversi documenti relativi alla pandemia da Coronavirus prima che venissero divulgati con dati che già all’epoca non consentivano di parlare di una “malattia da vecchi”.
