Un triste (possiamo dirlo?) braccio di ferro si sta combattendo in queste ore su Twitter attorno ai dati personali di centinaia di persone. Da una parte del tavolo c’è LulzSecITA, account ufficiale di un gruppo “hacktivisti”che più di una volta si è fatto notare per le offensive portate online contro gestioni “leggere” della sicurezza online; dall’altra parte c’è l’Ospedale San Raffaele di Milano, in questa situazione parte lesa. Ma la questione è più complessa di così.
LulzSecITA vs Ospedale San Raffaele
Il primo tweet di LulzSecITA apre il problema: si denuncia il fatto che i server dell’ospedale non avrebbero posto in essere le necessarie tutele nei confronti dei dati personali degli utenti passati all’accettazione dell’ospedale stesso, lasciando quindi che fosse semplice potervi entrare in possesso.
Beh che dire.. @SanRaffaeleMI, avete comunicato al Garante il #databreach di due mesi fa? Visto che avete già chiuso tutte le vulnerabilità.. anche se troppo tardi 😀 #StayTuned #GDPR #Hacked #Anonymous #LulzSecITA pic.twitter.com/ulu0CUBPxh
— LulzSecITA (@LulzSec_ITA) May 20, 2020
Dal tweet trapela un dato importante: il databreach risale a due mesi prima, quando i dati sarebbero stati trafugati e l’ospedale sarebbe stato informato della cosa. Quel che lecitamente ci si chiede è se l’Ospedale abbia debitamente informato il Garante Privacy, come da protocollo, o se abbia tentato di insabbiare la cosa. Un tweet a poche ore di distanza rilancia il tema:
Migliaia di utenti con password in chiaro, tra cui pazienti e infermieri. @SanRaffaeleMI nessuno è preoccupato del #databreach? Il #gdpr è andato a farsi fottere? Dobbiamo rilasciare tutti i dati per ottenere qualche risposta? pic.twitter.com/AU1FAKn14E
— LulzSecITA (@LulzSec_ITA) May 21, 2020
Le immagini scoprono le carte poco alla volta, dimostrando che la fuga di dati è avvenuta realmente. Quel che si chiede all’ospedale è un’ammissione di colpa, cosa che però non avviene. Il che, ovviamente non fa altro che esacerbare i toni della questione. Se da una parte l’Ospedale nega che ci siano dati personali sensibili tra le informazioni in mano al gruppo LulzSecITA, dall’altra si rivendica la gravità dell’accaduto e il silenzio (nonché le negazioni) da parte dell’ospedale:
Non abbiamo avuto accesso ai vostri dati sensibili, ma cos'è il 'sensibile' se non l'accesso ai vostri maledetti database? @SanRaffaeleMI continuate a smentire, di dati da diffondere ne abbiamo fino al mese prossimo! Schifosi! #Hacked pic.twitter.com/zZYH75TQQW
— LulzSecITA (@LulzSec_ITA) May 21, 2020
A questo punto i toni si alzano ulteriormente a seguito della pubblicazione di quella che sarebbe la password di Roberto Burioni (che in tempi recenti aveva attaccato l’eccesso di risorse e di impegno in difesa della privacy, compromettendo altri strumenti utili a combattere i contagi). E per oggi la guerra potrebbe continuare con nuove puntate.
Ci vediamo domani @SanRaffaeleMI visto che, secondo voi sono dati già pubblici, e non sensibili, domani saranno pubblicati TUTTI, in CHIARO! #JustForLulz @RobertoBurioni burlone 🙂
— LulzSecITA (@LulzSec_ITA) May 21, 2020
Quel che c’è di triste in tutto ciò è il fatto che l’attacco sia avvenuto ad una struttura ospedaliera lombarda nel momento di massima pressione sulla sanità nella regione. Si poteva evitare? Probabilmente si, se non altro in virtù di una situazione generale di grande eccezionalità. Ciò non toglie che se i dati sono stati trafugati e se ci sono informazioni sensibili a rischio, la tutela della privacy debba essere del tutto equiparata (anzi, rinforzata) dalla necessaria tutela alla salute. Mai come in questo periodo stiamo imparando che le due cose debbano andare a braccetto.
Tuttavia un databreach a pochi giorni dal rilascio di Immuni è qualcosa di cui il paese avrebbe volentieri fatto a meno. Nascondere le ceneri sotto il tappeto sarebbe però peggio ancora, dunque ora si affronti la questione di petto: dall’Ospedale ci si attende una presa di coscienza sulla vicenda ed un chiarimento nel merito; da LulzSecITA si auspica un gioco al ribasso che non vada a colpire gli utenti, vittime innocenti di questo tira e molla. In tempo di pandemia, l’Italia non ha bisogno di giochi, né sulla salute, né sui dati personali.
Ti potrebbe interessare
22 mag 2020