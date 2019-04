Nessun meccanismo di sicurezza, solo utente e password per accedere ad un server Amazon, in Oregon. E app disponibili nello store Google Play.

Sono quattro gli indagati che questa mattina - su ordine della procura di Napoli - hanno subito il sequestro di tutti i server e i macchinari delle aziende Stm e Esurv, gestore e creatore del software Exodus, in teoria destinato alle sole indagini di polizia giudiziaria ma finito di fatto nei cellulari anche di ignari cittadini.

Giuseppe Fasano, Salvatore Ansani, Marisa Aquino, Vito Tignanelli sono tutti responsabili a vario titolo di reati tra i quali intercettazione abusiva e frode informatica. I quattro indagati sono l'amministratore legale e il direttore delle infrastrutture It della Esurv, la società produttrice del spyware, oltre il rappresentante legale e l'amministratore di fatto di una delle società sequestrate, la Stm srl.

Come nasce l'indagine

Ad accorgersi del fatto che qualcosa, nel sistema di intercettazione della procura di Benevento, non funzionava, sono stati gli agenti di polizia giudiziaria, che all’ennesimo problema di server nel corso di una intercettazione hanno provato a digitare l’ip del server che gestiva i cellulari infettati da un normale cellulare.

Si sono accorti così che il sistema sviluppato dalla società Stm per le procure (Benevento e non solo) non aveva nessuna protezione particolare: user name e password e chiunque poteva entrare e leggere o ascoltare il materiale intercettato e registrato dalla piattaforma Esurv, senza lasciare traccia.

Il server Amazon

Quello che accade dopo ha, effettivamente, dell’incredibile. Il decreto di perquisizione di questa mattina da parte della procura di Napoli – che da tempo indaga sul comportamento della Stm, spiega che le indagini hanno confermato che Stm aveva semplicemente depositato i dati intercettati e dunque estremamente sensibili su una piattaforma Amazon.

Non preoccupandosi neppure di separare quelli indirizzati a differenti procure o diversi fascicoli di indagine. Non solo: il server presso la procura di Benevento, che in teoria doveva essere l’unico dispositivo detentore dei dati, era sconnesso e vuoto, inutilizzato.

Ascoltato dagli investigatori, lo stesso Anzani ha ammesso che accedere ai dati era molto semplice. E ha spiegato pure di aver creato senza alcuna autorizzazione diverse App mascherate, e apparentemente innocue, che consentono di inserire il virus nei cellulari di chiunque le abbia scaricate o le continui a scaricare.

