I dati rubati di milioni di italiani vaccinati custoditi con un «livello di sicurezza imbarazzante»

Dati provenienti da molteplici fonti violate per un totale di 7 milioni di italiani vaccinati sono stati trafugati e messi all’asta. A farlo è stato un hacker anonimo che, nella mattinata di ieri, ha pubblicato su un forum online tre campioni dell’immenso archivio che sostiene di avere e che sta vendendo al migliore offerente a partire da una base d’asta di cinquemila dollari (da saldare in criptovaluta, ça va sans dire). Come si può verificare guardando al campione, tra i dati vaccinati contenuti ci sono nomi, cognomi e tutta una serie di dati sensibili degli utenti coinvolti.

LEGGI ANCHE >>> Qual è il valore dei “780 gigabyte” di dati sottratti a Electronic Arts con un attacco hacker

Dati vaccinati: sette milioni di italiani vittime dell’hackeraggio

L’hacker in questione è stato contattato da Italian Tech, che si è fatto spiegare tutto quello che l’hacker ha voluto dire andando a tracciare i contorni della vicenda. L’origine dei dati trafugati non è stata svelata, ma è chiaro che proverrebbero non da uno ma da molti database, frutto dell’aggregazione di diverse fonti. «Non entrerò nel dettaglio delle singole vulnerabilità [né posso] rivelare quali bersagli ho colpito – ha detto l’hacker – ma posso dire che il livello generale di sicurezza delle infrastrutture [colpite] era imbarazzante: non fossi stato io, certamente ci sarebbe arrivato qualcun altro».

Un livello di sicurezza definito imbarazzante da un esperto di settore, quindi, che ha agito come un criminale preferendo vendere questi dati al migliore offerente – con cattive intenzioni – ma facendo luce anche sulla questione bug bounty, ovvero le ricompense per la vulnerabilità. Si tratta di ricompense – simboliche o in denaro – che sempre più paesi scelgono di dare agli hacker e agli esperti di settore che individuano vulnerabilità nei sistemi di rete e scelgono di segnalare per fare del bene al sistema invece che di vendere i dati che riuscirebbero a ottenere.

Ci sarebbero già dei possibili acquirenti

Tornando ai dati in questione, l’hacker ha riferito di aver già trovato due acquirenti disposti a pagare per i dati. Dati che, una volta venduti a loro, non saranno ceduti ad altre persone per non comprometterne il valore. In un meccanismo perfettamente oliato e organizzato, ad occuparsi della trattativa è un intermediario scelto dal black hat – cappello nero, ovvero quell’hacker che agisce con fini poco puliti -. Il pagamento deve avvenire tramite criptovaluta e il cyber criminale non ha voluto dare ulteriori dettagli per non essere rintracciato dalle autorità.

Italian Tech ha contattato la Polizia postale per capire in che modo la situazione viene gestita. Le autorità hanno assicurato che le analisi preliminari del caso sono già in corso allo scopo di accertare che i dati informatici divulgati siano effettivamente frutto di un lavoro di hackeraggio e non della raccolta fatta a caso di informazioni già precedentemente divulgate e, di conseguenza, già reperibili online.