Rubato il database dell’Ordine degli psicologi lombardi. Gli hacker minacciano di pubblicare dati sensibili. L’Ordine: «Attacco parziale, nessun dato in chiaro»
I vertici dell’Ente: «Situazione sotto controllo, solo 7 documenti pubblicati nel dark web»
[Questo articolo ha ricevuto una rettifica che pubblichiamo integralmente in coda]
Sono 23 mila gli psicologi che operano in Lombardia e sono iscritti all’Ordine regionale. I loro dati, così come altre informazioni conservate nel database dell’ente, sono stati trafugati da un gruppo di hacker. L’attacco contro l’Ordine degli psicologi della Lombardia è stato rivendicato, lo scorso 10 ottobre, dal collettivo NoEscape. La notizia non è stata resa pubblica dai vertici dell’organismo, tantomeno i singoli psicologi sono stati informati che, i loro dati, sono finiti nelle mani di criminali che, per non pubblicarli, pretendono il pagamento di un riscatto. Ciò che preoccupa particolarmente sono le informazioni relative ad alcuni pazienti che si sono avvalsi di supporto psicologico. Nella mole di materiale trafugato, che si aggira tra i 5 e i 7GB, c’è una cartella denominata «Casi». Pare che si tratti di alcuni casi finiti all’attenzione dell’Ordine perché, ad esempio, al centro di dispute sul rispetto delle regole deontologiche da parte di uno psicologo. All’interno, ci potrebbero essere esposti o memorie difensive contenenti i dati sensibili dei pazienti.
A Open risulta che la notizia del data breach non è stata divulgata nemmeno ai 23 mila iscritti, benché gli hacker rivendichino di essere in possesso di dati personali come curricula, lettere d’incarico, redditi, documenti fiscali, fotografie e carte d’identità. Forse, l’Ordine ha mantenuto il riserbo per non creare allarmismo tra gli psicologi lombardi e lasciare lavorare le autorità competenti al riparo dalla pressione mediatica. Il caso è stato, infatti, denunciato e, al momento, l’Ordine non avrebbe intenzione di avviare alcuna trattativa con gli hacker. Il collettivo NoEscape, in un primo momento, ha minacciato di pubblicare il contenuto della refurtiva informatica il giorno 16 ottobre. Non è stato fatto: gli hacker hanno posticipato di una decina di giorni la data limite per ricevere il riscatto e scongiurare la pubblicazione. Secondo l’esperto di cyber security Edoardo Limone, che sta seguendo la vicenda, il ritardo potrebbe far parte di una strategia del collettivo: «È una tecnica nota per fare pressione sulla vittima», scrive sul suo sito.
La rettifica dell’Ordine:
Gentile Direttore, le scrivo per chiarire la situazione in merito alla notizia dell’attacco informatico alla rete dell’Ordine da parte dell’organizzazione “NoEscape” che viene trattata nell’articolo da voi pubblicato in data odierna a firma di Felice Florio.
Vorrei informarLa del fatto che, in collaborazione con i Responsabili dei Sistemi Informativi e il Responsabile per la Protezione dei Dati dell’Ordine e il nostro Direttore, abbiamo sin da subito monitorato e gestito la situazione, attivando tutte le procedure necessarie.
L’immediato intervento della società che presta assistenza tecnico/sistemistica ha verificato quanto segue:
Tutte le macchine virtuali generate in ambiente VMWARE sui server fisici, in sede e presso la Casa della Psicologia, sono state criptate inibendo qualsiasi tipo di attività e/o accesso ai dati.
I dati contenuti nelle unità di backup (NAS) in sede e presso la Casa della Psicologia erano stati cancellati.
Adottate le procedure di emergenza necessarie, anche con il supporto di un’azienda specializzata nell’ambito digital forensics, abbiamo provveduto nei giorni successivi alla ricostruzione ex novo delle macchine fisiche e virtuali ed al ripristino degli archivi grazie ai salvataggi custoditi nel cloud di Vodafone e ai dischi esterni custoditi in cassaforte.
Tutti gli archivi sono stati ripristinati, a eccezione delle registrazioni degli eventi salvate sul NAS presso la casa della Psicologia.
Contemporaneamente, abbiamo provveduto, a seguito di una richiesta di contatto da parte degli hacker, a monitorare la pagina “onion” indicata al fine di verificare l’eventuale pubblicazione di dati, alla quale gli stessi hacker minacciavano di dare seguito.
Sulla pagina veniva pubblicata una lista di cartelle e file corrispondenti alla struttura del file system del server contenente i dati condivisi e veniva dichiarata l’acquisizione di 7/5GB di dati di diversa natura.
Si precisa che gli archivi reali corrispondono a centinaia di GB e che le dinamiche e i tempi dell’attacco non avrebbero sicuramente consentito l’acquisizione totale degli archivi.
Il link rimanda alla seguente pagina dove, in data 3 ottobre 2023, si minaccia la pubblicazione di 7GB di dati entro 5 giorni, 10 ore, 1 minuto e 8 secondi.
Ad oggi solo 7 documenti sono stati pubblicati nella pagina “Onion” raggiungibile solo utilizzando il browser “Tor” per la navigazione sul Dark Web e avendo il link dedicato.
Nessun dato risulta pubblicato nel web tradizionale.
Tali esiti sono già stati documentati nel registro dedicato ai Data Breach ed è stata inviata la dovuta notifica all’ufficio del Garante Privacy.
L’esiguità della mole di dati dichiarata come copiata dagli attaccanti, rispetto ai reali volumi delle banche dati dell’Ordine, riduce al minimo i rischi per gli interessati.
Non c’è prova che ci siano dati degli psicologi iscritti perché i sette documenti campione pubblicati riguardano documenti interni in forma anonima e tre documenti di identità di nostri consulenti che in realtà nella sezione amministrazione trasparente sono già pubblici.
La cartella casi è rintracciabile in un file di .txt descrittivo senza contenuti specifici e consiste in un puro elenco ma non vi è prova che la cartella sia stata copiata. L’esiguità dei dati dichiarati rappresenta comunque un rischio ridotto rispetto ai reali archivi.
Concludo, dicendole che, in collaborazione con il Responsabile per la Protezione dei Dati dell’Ordine, continueremo a tenere monitorato il dark web e l’indirizzo “Onion” al fine di identificare ulteriori eventuali comparse di dati.
Siamo davvero dispiaciuti di non essere stati contattati prima della pubblicazione del vostro articolo, perché avremmo subito chiarito al giornalista i termini della questione, ridimensionando fortemente l’entità dell’allarme e sottolineando che non c’è alcun dato clinico che risulti attualmente in possesso degli hacker.
Restiamo a vostra completa disposizione per aggiornarvi sugli eventuali sviluppi della vicenda.
