Gli hacktivist di Anonymous e LulzSecITA hanno messo a segno un’azione plateale nei confronti dell’Ordine degli Avvocati di Roma e del servizio Visura che permette la consultazione in tempo reale delle principali banche dati della Pubblica Amministrazione, quindi molto utilizzato non solo dai legali ma anche da commercialisti, ingegneri, architetti, tecnici e dagli stessi privati.
In entrambi i casi sono state pubblicate le credenziali per l’accesso alle rispettive caselle PEC degli avvocati con tanto di password in chiaro. Per quanto riguarda l’Ordine degli Avvocati di Roma, Anonymous e LulzSecITA hanno condiviso circa 27.000 record; nel caso di Visura all’incirca 12.500.
I fogli elettronici contengono nomi e cognomi, indirizzi di residenza e codici fiscali degli avvocati oltre alle credenziali d’accesso per l’utilizzo delle caselle PEC. Sono stati diffusi anche i contenuti di alcune caselle di posta degli avvocati, con tutti i messaggi ivi conservati lato server.
I due gruppi non hanno al momento fornito indicazioni sulle modalità con cui i dati sono stati estratti. Non è detto che le password fossero state memorizzate in chiaro sui server dei fornitori del servizio PEC ma gli esperti non escludono l’utilizzo di algoritmi di hashing “deboli” con la possibilità quindi di risalire alle singole password.
Al di là delle possibili vulnerabilità delle applicazioni web che i collettivi potrebbero aver sfruttato, certo è che in pochi casi gli avvocati avrebbero utilizzato password complesse e più lunghe di 8 caratteri. A testimonianza di quanto la consapevolezza in tema di sicurezza informatica sia ancora veramente poco diffusa, a tutti i livelli.
L’Ordine degli Avvocati di Roma scrive: “abbiamo appreso da notizie di stampa che la banca dati del nostro fornitore delle caselle di posta elettronica certificata è stata violata ed alcune password di accesso sarebbero ora nella disponibilità di soggetti non ancora identificati dalla Polizia Postale. Sembra, in particolare, che siano a rischio quelle caselle PEC per le quali il Collega fruitore non ha modificato la chiave di accesso fornita all’origine“.
Viene in ogni caso consigliato di modificare immediatamente la password di accesso per le caselle PEC, scegliendone una robusta.
I rappresentanti di Anonymous e LulzSecITA avevano preso di mira, nei giorni scorsi, alcune centinaia di caselle di posta degli avvocati iscritti agli Ordini di Piacenza, Caltagirone e Matera ma quello consumatosi nelle ultime ore è al momento il data leak più pesante.
Gli esponenti dei due gruppi di hacktivist hanno pubblicamente dichiarato, tramite Twitter e i rispettivi blog, di non volersi fermare e di intendere proseguire con ulteriori azioni per tutta la settimana in corso.