Sicurezza informatica, i dati degli avvocati di Roma pubblicati dagli hacker

Il 7 maggio 2019 il collettivo informatico Lulzsec Ita, con l’aiuto di Anonymous, ha diffuso i dati relativi agli avvocati dell’Ordine romano e della sindaca Raggi. La sicurezza non passa soltanto attraverso i server di posta, ma anche nelle password che vengono utilizzate

Che in Italia abbiamo qualche problema di sicurezza informatica non è una novità, così come non lo è la mancanza attenzione su come vengono gestiti gli account e soprattutto le password dei servizi online. «1234567» è una delle più citate per descrivere l’inconsapevolezza degli utenti, la «banalità assoluta», eppure è risultata comune anche tra gli avvocati della capitale.

Il 7 maggio 2019 sono stati resi pubblici i dati di accesso alle PEC di circa 30.000 avvocati dell’Ordine romano a seguito di un’intrusione informatica ad opera del collettivo informatico Lulzsec Ita, con la collaborazione per la loro diffusione da parte di Anonymous.

I dati degli avvocati pubblicati dagli hacker, dalle email di Virginia Raggi alle password «forzaroma» foto 1

Non si tratta di hacking etico, dove un esperto individua una vulnerabilità all’interno di un sito o di un server di posta per poi segnalarlo al gestore affinché la risolva, ma di un vero e proprio reato informatico che potrebbe far perdere il sonno nei prossimi giorni al responsabile dell’infrastruttura «bucata».

Le email di Virginia Raggi

Attraverso il blog di Anonymous è possibile osservare degli screenshot di alcune email ricevute da Virginia Raggi, una di queste inviata il 16 dicembre 2016 dall’attivista Riccardo Palmieri del M5S Firenze per la sua candidatura spontanea per il ruolo di Responsabile del Personale del Comune di Roma. Oppure quella dell’Ordine degli avvocati dove ricorda, il 16 marzo 2018, che la sindaca non avrebbe versato le quote relative all’iscrizione relative agli anni 2017 e 2018 per un totale di 145€ cadauna.

I dati degli avvocati pubblicati dagli hacker, dalle email di Virginia Raggi alle password «forzaroma» foto 4

All’interno del materiale diffuso da Lulzsec Ita, invece, vengono fornite ulteriori informazioni. Oltre all’elenco delle utenze e delle password per accedere alle PEC degli avvocati, con server di posta su Legalmail.it, viene reso noto un gruppo di 12 cartelle con i nomi e cognomi di alcuni dei membri dell’ordine tra i quali, appunto, Virginia Raggi. Al suo interno c’è anche un PDF, datato 25 ottobre 2018, relativo alla convocazione per il «mancato versamento dei contributi di iscrizione» all’albo per l’anno 2017, così come anche scansione di documenti e curriculum con foto, nomi, cognomi e indirizzi in chiaro.

Le motivazioni dei pirati informatici

All’interno del blog di Anonymous i pirati informatici fanno una premessa:

Salve cittadini Italiani, oggi Anonymous, con questa operazione e con l’avvicinarsi dell’anniversario della loro cattura, vuole ricordare i vecchi Amici Aken e Otherwise arrestati nel Maggio 2015. Non avete capito che Anonymous non ha leader? Arrestati 2 altri 100 ne nascono.

I due nomi citati si riferiscono a due persone appartenenti al gruppo Anonymous arrestati nel 2015: Fabio Meier, noto con il nome di Otherwise, e Valerio Camici, che utilizzava lo pseudonimo Aken. Come riportano gli articoli dell’epoca, in seguito alle violazioni una «flotta di avvocati» era pronta a dar battaglia per le vittime – professionisti, manager ed enti pubblici – al fine di ottenere un risarcimento per i danni subiti.

Questo, e la citazione di Totò «Gli avvocati difendono i ladri. Sa com’è… tra colleghi» riportata nel blog dei pirati informatici, potrebbe farci comprendere che vi sia un «conto aperto» con l’ordine professionale romano e non solo: ad essere stati violati sono anche gli ordini di Matera, Caltagirone e Piacenza.

I dati degli avvocati pubblicati dagli hacker, dalle email di Virginia Raggi alle password «forzaroma» foto 2

Virginia Raggi, in tutta questa storia, sembra essere soltanto un personaggio utile per diffondere la notizia di questa e delle prossime violazioni che hanno intenzione di pubblicare prossimamente. Ciò che dovrebbe far preoccupare è la pubblicazione dei dati relativi non solo agli avvocati iscritti all’Ordine romano, ma anche dei loro collaboratori e clienti. Una brutta «gatta da pelare» assieme al Garante.

Le password «1234567» e «forzaroma»

Ad essere state violate non sono soltanto la PEC degli avvocati, ci sono anche i dati di accesso al sito Visura.it.

I dati degli avvocati pubblicati dagli hacker, dalle email di Virginia Raggi alle password «forzaroma» foto 3

Mentre per le email le password sono in formato alfanumerico, tutte simili tanto da farci pensare che siano quelle provvisorie all’atto di creazione, per quelle del servizio online possiamo trovare livelli di sicurezza pari a un «tottigol». La più comune utilizzata per il servizio di Visura.it risulta essere «avvocato», seguito da «1234567» e «forzaroma». In alcuni casi troviamo nomi propri come «lorenzo» e «francesco»:

  1. avvocato = 87 (0.7%)
  2. 1234567 = 32 (0.26%)
  3. forzaroma = 25 (0.2%)
  4. lorenzo = 19 (0.15%)
  5. francesco = 18 (0.15%)
  6. camilla = 18 (0.15%)
  7. francesca = 17 (0.14%)
  8. alessandro = 16 (0.13%)
  9. federica = 15 (0.12%)
  10. stefano = 15 (0.12%)

Tranquilli, non ci sono soltanto romanisti. Qualcuno usava come password «Juventus».

Leggi anche