Gli hacker di LulzSec hanno violato il MIUR, anzi no!

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

L’attacco del gruppo LulzSec Italia avrebbe preso di mira il MIUR, ma arriva la smentita di violazioni alle infrastrutture. Nell’era del GDPR, prove generali di confusione?

Questa volta sarebbe la scuola (ma non solo) a prendere quattro… In sicurezza. Il gruppo Lulzsec Italia prima ha annunciato la violazione degli archivi del Ministero dell’Istruzione, ed ha esposti 26mila indirizzi email di docenti di ogni ordine e grado e riconducibili al Ministero per l’Istruzione – che infatti sono stati pubblicati in Rete – poi invece risulta che non sarebbero invece risultate esposte le infrastrutture dei sistemi informatici ministeriali gestite da Almaviva-Fastweb e DXC-Leonardo, come alcune testate hanno titolato. Sono infatti arrivate le smentite del ministero: “i dati pubblicati non sono riconducibili a componenti dei sistemi informatici del Miur, ]…[. In particolare, non sono stati trafugati dati dai sistemi che gestiscono l’accesso alle caselle del dominio @istruzione.it”.

Secondo le prime fonti (tra cui Il Manifesto) sarebbero stati attaccati 52 database, quello più importante non sarebbe nemmeno quello che ha consentito di esporre gli indirizzi ma quello dei dati relativi alle donazioni del 5xMille alle università.

Il Ministero però evidenzia che dal controllo su 6163 indirizzi email @istruzione.it, 4565 non sono attivi e le password pubblicate associate alle email non sono in verità password di accesso alle caselle di posta ma di hash.

Il Ministro dell’Istruzione Valeria Fedeli

Il Ministero si spinge oltre segnalando come le password associate potrebbero in verità essere collegate alla registrazione dei docenti su altri siti che non fossero quello di accesso alla casella di posta elettronica. Tra l’altro tra gli indirizzi violati vi sono anche quelli di personale che tiene semplicemente rapporti con il Miur ma hanno altre tipologie di dominio.

L’attacco di per sé non avrebbe nessuna caratteristica di un attacco critico, e tuttavia non è escluso che con le informazioni estrapolate non sia successivamente possibile tentare altri attacchi sfruttando le tecniche di social engineering.

Del tutto originale e per certi aspetti davvero fuori luogo il messaggio che Lulzsec (portavoce di un gruppo di hacker attivisti raccolti in Italia sotta la sigla Anonymous) ha pubblicato online diretto al ministro dell’istruzione dell’ultimo governo, Valeria Fedeli. Secondo gli hacker infatti lo strumento scuola lavoro sarebbe uno strumento per sfruttare gli studenti per avere manodopera giovane e gratuita.

Di critiche al ministro probabilmente se ne sarebbero potute fare tante, ma questa è davvero surreale. Considerato il significato di Lulz (grasse risate) non si sarebbe potuto escludere che anche la motivazione fosse semplicemente di pretesto per riderci sopra ancora di più. Ma i riferimenti all’alternanza presso McDonald’s hanno tolto qualche dubbio.

In verità il presunto attacco insegna molto di più. Lulzsec posta su Twitter un messaggio che sembra non lasciare dubbi sul fatto che sia avvenuto e il Miur sia stato violato, il Miur però stempera l’effetto sugli indirizzi esposti e sostiene che le infrastrutture non sono state violate.

Non sembra verosimile che Lulzec abbia atteso tanto prima di rivendicare la violazione (cosa che giustificherebbe il fatto che tanti indirizzi non sono più attivi), ma allo stesso tempo, pensando al GDPR, se l’attacco fosse invece attuale gli indirizzi non avrebbero avuto più motivo di esistere, perché erano ancora lì?

Ci vogliamo augurare che nell’era del GDPR – che comunque è già in vigore, anche se non con gli effetti sanzionatori – sia possibile in casi come questi riuscire a ricostruire perfettamente la catena degli avvenimenti, in modo inconfutabile e la domanda arriva inevitabile: il Miur è già in regola con il Gdpr?