Tom's Hardware Italia
Sicurezza

LulzSec Italia ha diffuso più di 5mila credenziali e password del sito degli Archivi di Stato

LulzSec Italia ha rivendicato l'attacco informatico contro il sito degli Archivi di Stato dimostrando il livello inadeguato di sicurezza della piattaforma.

Il sito degli Archivi di Stato, la scorsa settimana, ha subito un attacco informatico rivendicato dal collettivo LulzSec Italia. “Ops.. @beni_culturali pensiamo ci sia un problema con archivi-sias.it date un occhiata a questi 5465 utenti con password in chiaro”, hanno pubblicato sul blog ufficiale. Si parla insomma di credenziali di accesso, password e altre informazioni rese disponibili online tramite un link pastebin.

Ancora una volta – con una modalità per molti discutibile e comunque illegale – LulzSec Italia ha dimostrato che il livello di protezione di alcuni siti di Stato è piuttosto bassa. La conferma di questa inadeguatezza è stata riconosciuta anche da Raoul Chiesa, hacker etico da anni impegnato professionalmente nella protezione informatica tramite la società Swascan. In una recente intervista pubblicata da Il Mattino, l’esperto ha spiegato che gli hacktivisti di LulzSec “hanno una credibilità internazionale” e sarebbe un male credere che si tratti solo di ragazzini appassionati di informatica.

Però è anche vero che in questo caso l’impressione di Chiesa è che si sia trattato di un “SQL injection”, quindi una banalità per gli addetti ai lavori poiché con una programmazione del codice adeguata potrebbe essere scongiurato.

Il rischio a questo punto è che le password diffuse online possano essere impiegata da malintenzionati per accedere ai servizi a cui sono iscritti gli utenti coinvolti – considerato che molti usano le stesse su ogni piattaforma frequentata. Da rilevare che fra gli user diffusi vi erano anche manager di ENI e di Juventus.

Photo credit - depositphotos.com

Il problema secondo Chiesa è che le PA “spesso hanno la cattiva abitudine di avere dei database con user e password non cifrate”, senza contare la mania delle gare di appalto basate sul prezzo più basso. A suo parere non si può pretendere da un giovane pagato magari 30 euro al giorno di essere anche un esperto di sicurezza.

E dire che basterebbe poco per ridurre ogni rischio. Ad esempio Chiesa spiega che sarebbe sufficiente rivolgersi a società specializzate di comprovata esperienza, considerato che “in Italia siamo molto bravi ma i migliori  programmatori fuggono proprio perché qui non abbiamo un’adeguata cultura della sicurezza informatica”.