Sicurezza, attacco alla PA italiana

Uno dei siti del Ministero della Funzione Pubblica è stato reso inaccessibile da un banale attacco SQL injection. Il giovane, che si fa chiamare Kapustkiy, ha messo le mani su di un database di 45mila credenziali. Anche Equitalia nelle scorse ore ha sofferto

Roma – Per bucare il sito governativo mobilita.gov.it del Ministero della Funzione Pubblica è bastato un semplice attacco di SQL injection : il Dipartimento della Funzione Pubblica e il Governo, non sono stati in grado di proteggere dati e servizi della pubblica amministrazione dagli attacchi provenienti da un ragazzo di appena 17 anni, tale Kapustkiy , già noto per avere creato problemi simili in varie nazioni. L’attacco gli ha permesso di accedere a un database di 45mila credenziali di accesso a servizi della pubblica amministrazione e di condividerne 9mila su Pastebin , allo scopo di spronare gli amministratori del sito attaccato, ancora fuori servizio per manutenzione, a risolvere il problema.

mobilita.gov.it

L’aspetto più rilevante della vicenda è probabilmente il fatto che i funzionari abbiano ignorato le email del giovane, almeno secondo quanto riferito dallo stesso Kapustkiy, che avrebbe inutilmente cercato di contattare gli amministratori del sito per segnalare la vulnerabilità: “Non ho ricevuto nessuna risposta da loro”, ha riferito il diciassettenne, il quale spera che con l’attacco e la conseguente fuoriuscita di dati li convinca ad adottare contromisure efficaci.

Kapustkiy ha persino ironizzato sulla vicenda con un tweet nel quale precisa di non essere un hacker, nonostante la stampa si ostini a definirlo tale. Sull’accaduto è intervenuto anche Andrea Rigoni, esperto di sicurezza italiano e consulente per la NATO, il quale, intervistato da Repubblica , ha criticato l’assenza di reazione da parte delle autorità nazionali, stigmatizzando la mancanza di risposta rispetto ai tentativi di contatto intrapresi dal ragazzo.

A poche ore dall’accaduto, sono stati presi di mira anche i server di Equitalia , bersaglio di un attacco che ha messo fuori uso il sito web, che ora sembra essere tornato alla normalità. Ad annunciare l’interruzione temporanea dei servizi è stata la stessa agenzia di riscossione mediante un tweet.

In questo caso, però, il problema potrebbe essere riconducibile ad una vulnerabilità di WebSphere, l’application server di IBM già al centro delle attenzioni per un exploit del quale è stato pubblicato un parziale Proof-of-Concept del codice, dopo l’intervento dell’azienda produttrice.

Per quanto concerne Kapustkiy, il cui intento era semplicemente quello di tentare di accedere ai server istituzionali per dimostrarne la vulnerabilità, la lista dei siti attaccati negli ultimi mesi comprende l’ambasciata paraguaiana di Taiwan, le ambasciate indiane di Svizzera, Mali, Romania, Italia, Malawi e Libia. Il diciassettenne ha compromesso anche due sottodomini della Virginia University e un sottodominio della University of Wisconsin.

In un’intervista rilasciata a SecurityAffairs si legge che il giovane si ispira al movimento LulzSec anche se non ne condivide pienamente lo spirito: “La mia motivazione è legata al fatto che mi piace aiutare gli amministratori a configurare i loro siti in maniera che possano renderli sicuri”, sperando in un futuro lavoro nell’industria della cyber security.

Thomas Zaffino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti