Anonymous Italia torna alla carica, questa volta prendendo di mira il Partito Democratico. Domenica 6 Ottobre è comparso sul blog del gruppo un post in cui si annunciava di aver violato i siti di alcune sedi locali, (quasi) tutte in Emilia Romagna.
Ad essere stati hackerati sono i database delle sedi del partito, che hanno rivelato dati riguardo i tesserati e gli iscritti.
PD Rimini, PD Parma, PD Reggio Emilia, PD Piacenza, più PD Empoli e i Giovani Democratici dell’Emilia Romagna. Questi i siti vittima dell’attacco di Anonymous Italia, causando la pubblicazione di ben 220 database del partito. Ad essere presi di mira sono stati coordinamenti provinciali e regionali. Non sono solo i tesserati ad essere stati colpiti: nei database ci sono infatti anche informazioni di aziende vicine al gruppo politico.
Il tweet di Anonymous Italia.A renderlo noto prima di tutti è stato Nicola Vanin, Data Governance e Information Security Senior Manager di TIM, con un post su LinkedIn, per il quale è stato criticato da alcuni in quanto avrebbe “pubblicizzato” il data breach.
Il modo in cui Anonymous è riuscita ad ottenere i dati sarebbe stato una SQL Injection, partendo da index.html?idpg=(PAYLOAD). Che cosa ci dice questo? Che non è stata effettuata nessuna “sanitizzazione” della stringa di input, operazione necessaria per evitare questo tipo di attacco. Ciò significa che presumibilmente non sono mai stati effettuati penetration test, e anche che le tecnologie con cui lavorano sono obsolete.
Sul loro blog gli hacker della divisione italiana hanno lasciato spazio ai dati più che alle parole, riportando i link ai Privatebin contenenti i dati in chiaro ottenuti.
Tra questi ci sono i dettagli di vari pagamenti (ordinante, beneficiario, importo…) ma anche informazioni personali dei tesserati: numeri di telefono, indirizzi, email, data e luogo di nascita, e così via. Dati estremamente sensibili che potrebbero causare molti problemi alle vittime.
I database colpiti non sono però solo quelli del Partito Democratico: sono state 220 in tutto le banche dati violate. La società Antherica, ad esempio, figura più volte nella lista di database disponibili, raggiunti a partire da quelli del PD. Alcuni utenti dei quali i dati sono stati resi noti hanno email di altre società, quali CNA Servizio Estero, Alpiq e Società Cattolica di Reggio Emilia.
Un danno enorme, sia per l’immagine del partito che soprattutto per gli iscritti e i simpatizzanti i cui dati sono ormai alla mercé di tutti.
“Non abbiamo le risorse o conoscenze di contabilità. Lasciamo altri a trarne le conclusioni.”
, dicono gli Anonymous. E se qualcuno volesse trarre conclusioni, di materiale ne avrebbe a bizzeffe. Non sta a noi però esporci su temi contabili e in questo caso politici. Ma una piccola nota informatica la possiamo fare: un varchar 255 per una data? Davvero? …