Kapustkiy dichiara di avere 17 anni e di non essere un hacker anche se venerdì 18 novembre ha "bucato" Mobilita.gov.it, il sito del Dipartimento di Funzione Pubblica.Sì, proprio la struttura italiana che è incaricata di digitalizzare la Pubblica Amministrazione ha subito la sottrazione di un database che contiene più di 45 mila credenziali di dipendenti pubblici.
L'aspetto bizzarro della vicenda è che secondo Kapustkiy è bastato un banale Sql Injection, come a dimostrare che la sicurezza non solo non era adeguata ma proprio sciatta.
Sarebbe bastata una corretta configurazione dei sistemi per evitare problemi. Ed è proprio su questo punto che si concentra l'azione del giovane: mira ai siti istituzionali per dimostrarne la vulnerabilità. Si definisce non a caso un "Security pentester", un hacker etico che si impegna a valutare la qualità delle difese.
Negli utili tempi è riuscito ad accedere ai database dei siti dell'ambasciata paraguaiana di Taiwan, le ambasciate indiane di Svizzera, Mali, Romania, Italia, Malawi e Libia; senza contare due sottodomini della Virginia University e un sottodominio della University of Wisconsin.
The main thing was that I tried to get some "thank you" from websites for reporting. Only the Indian Embassy thanked me.
-- Kapustkiy (@Kapustkiy) 20 novembre 2016
Leggendo la sua intervista a SecurityAffairs si scopre che si ispira al movimento LulzSec ma non condivide lo spirito dei Black Hat - gli hacker malintenzionati che operano a scopo illecito. "La mia motivazione è legata al fatto che mi piace aiutare gli amministratori (di sistema, NdR.) a mettere a posto i loro siti in modo che possano renderli sicuri", dice Kapustkiy. "In futuro, vorrei avere un lavoro nell'industria della cyber security".
In effetti, su Pastebin ha dato prova della sottrazione di uno dei sei database del Dipartimento di Funzione Pubblica, mostrando solo 9mila credenziali e censurando numeri telefonici e mail. A distanza di 2 giorni dalla sua segnalazione nessuno gli ha risposto ma il sito della Pubblica Amministrazione è andato in modalità "manutenzione". Ancora oggi risulta in cantiere. Su Pastebin ha già rimosso tutto.
"Il Governo non prende seriamente una persona media (come me) quindi mi piacerebbe che si scusassero e iniziassero a leggere le mie mail", ha twittato sabato l'esperto. Il Dipartimento però ha fatto sapere che le mail sono state spedite ai responsabili che avevano registrato il sito anni fa che non collaborano più con la struttura.
Kapustkiy ha rilanciato tirando in ballo due indirizzi mail del ministero degli Esteri e anche le mancate risposte fornite a testate giornalistiche internazionali che stanno seguendo la vicenda.
''Riassumiamo. È come se un ladro non professionista, minorenne, fosse riuscito a introdursi in un palazzo del governo, armato solo di grimaldello, dove ci sono documenti riservati. E non sia scattato nessun allarme anche se il ladro si è messo a gridare per attirare l'attenzione delle guardie'', ha spiegato a La Repubblica Andrea Rigoni, di Intellium-Deloitte, consulente della Nato e di vari governi per i temi della cybersicurezza.
Rigoni in un certo senso riconosce le gravi mancanze scoperte dal giovane hacker. Quel particolare errore è legato alla configurazione, quindi c'è stata disattenzione e incompetenza. In secondo luogo strano che nessun sistema automatico abbia rilevato l'errore. "Terzo - ed è la cosa più grave - non c'è nemmeno un processo, una organizzazione di gestione della sicurezza perché nessuno ha dato ascolto al ragazzo'', ha spiegato Rigoni.