LulzSec: Data Breach al San Raffaele di Milano

Recentemente il collettivo di hacker italiani LulzSec ha rivendicato l’attacco subito dall’ospedale San Raffaele di Milano. Ma questo non è il solo avvenuto negli ultimi mesi. In un altro articolo avevamo parlato di come lo studio Grubman Shire Meiselas & Sack fosse stato vittima di un attacco che ha compromesso i dati di numerose celebrità. Ma anche la compagnia aerea Londinese, EasyJet ha subito un data breach che ha esposto 9 milioni di account.

L’avviso da parte di LulzSec arriva tramite un tweet che sembrerebbe però essere stato completamente ignorato dai diretti interessati. Infatti il data breach sarebbe avvenuto a Marzo e da allora nessuna comunicazione è stata rilasciata. Solo pochi ne hanno parlato e ora gli hacker stanno chiedendo delle risposte.

Il tweet è correlato da immagini che dimostrano la prova dell’incursione: sono decine di migliaia i nominativi e i dati presenti sui file pubblicati. Tra questi si leggono anche quelli del più famoso immunologo italiano, Roberto Burioni, che presso il San Raffaele è specialista in Immunologia Clinica ed Allergologia; in particolare ci sono login e password della sua utenza. Oltre al suo nome ci sono dati di manager, medici, e anche pazienti, con tanto di codice fiscale.

Il san Raffaele smentisce

Tuttavia l’ospedale avrebbe prima smentito l’attacco, per poi ricredersi confermandolo, ma sostenendo che nessun dato sensibile fosse stato compromesso. Poichè i dati sottratti erano già di dominio pubblico.

[bquote by =” “]Si tratta di informazioni relative a un’applicazione dedicata alla formazione online dismessa da anni e circoscritta, che aveva password e utenze dismesse.[/bquote]

La precisazione conferma quindi l’avvenuta intrusione e non il compimento di un semplice tentativo. Quando si fa riferimento alle informazioni pubblicate si tengono anche in considerazione quelle esibite nel tweet con cui gli hacker mostrano presunti dati relativi alle operazioni di accettazione nel nosocomio.

La comunicazione al GDPR

Tuttavia secondo il Regolamento Europeo 679/2016  ogni qual volta si verifica un attacco informatico bisogna seguire una procedura. Entro 72 ore va comunicato al GDPR – ovvero il Garante per la Protezione dei dati personali – la presa visione dell’attacco e come immediata conseguenza vanno avvisate le parti interessate, ovvero coloro ai quali le informazioni fuoriuscite si riferiscono. Ma in questo caso sembrerebbe che la procedura non abbia avuto luogo.

Con tono sarcastico nel tweet di LulzSec si chiede se effettivamente ci si sia mossi per avvisare il GDPR.

I dati rubati da LulzSec

Il collettivo tramite svariati tweet ha già reso pubblici dei dati tra i quali account, password e altri. E continua a minacciare di rendere pubblici tutti gli altri in loro possesso se il San Raffaele non risponde adeguatamente.

La mancata adozione di misure di sicurezza da parte dell’ospedale non solo comporta l’applicazione di severe sanzioni in tema di privacy, ma vanifica la configurabilità di qualunque reato informatico in danno all’Ospedale. La legge infatti prescrive un ferreo “protetti da misure di sicurezza” in assenza del quale i sistemi bersaglio sono terra di nessuno e chiunque vi può indebitamente pascolare.

L’accusa da parte di LulzSec

Sembrerebbe che il collettivo stia quindi punzecchiando l’ospedale affinché prenda visione della gravità dell’attacco e della mancanza di protezione.

I pirati domandano se il San Raffaele abbia diligentemente segnalato al Garante la circostanza entro le fatidiche 72 ore concesse dal Gdpr. Al loro quesito viene da aggiungere se sono stati informati anche i soggetti cui i dati personali sottratti si riferiscono

Sul profilo Twitter degli hacker il collettivo aveva annunciato: “Vogliamo fare un gioco con te San Raffaele di Milano, entro fine giornata rilasceremo tutti i dati, in clear (in chiaro). A meno che… non ci comunichiate qualcosa di concreto”.

Gli hacker infatti affermano di aver avvertito i tecnici dell’ospedale di alcune vulnerabilità dell’infrastruttura informatica, falle che avrebbero messo a rischio i dati personali dei pazienti e dei dipendenti. Ma, denunciano, nulla è stato fatto, nemmeno l’obbligatoria segnalazione al Garante della Privacy. Anche i singoli soggetti coinvolti dovrebbero essere allertati nello stesso arco di tempo. È proprio questo il senso dell’operazione: sensibilizzare istituzioni e persone comuni sull’importanza della sicurezza informatica per proteggere la privacy. 

Il caso EasyJet

Anche la compagnia aerea EasyJet è stata vittima di un data breach in questi giorni. L’attacco definito “altamente sofisticato” avrebbe esposto e-mail e dettagli di viaggio di circa 9 milioni di utenti. EasyJet ha inoltre confermato che di questi 9 milioni di utenti, circa 2208 si è visto rubare anche i dati relativi alle carte di credito.

Questa volta non è opera di LulzSec, non è ancora chiaro alla compagnia come gli hacker siano riusciti ad accedere senza autorizzazione alle informazioni. Tuttavia EasyJet ha assicurato di aver immediatamente chiuso l’accesso non autorizzato.

L’agenzia britannica per la protezione dei dati è stata avvisata tempestivamente ed è già all’opera per determinare la portata dell’attacco e migliorare l’ambiente di sicurezza.

La compagnia aerea ha iniziato a contattare tutti i clienti i cui dati di viaggio e della carta di credito sono stati consultati nella violazione, per consigliare loro di essere estremamente vigili, soprattutto se ricevono comunicazioni non richieste.