Ieri era stato annunciato un attacco “multiplo” sia per target, sia per durata. Cinque giorni di attacchi nei quali saranno pubblicati i risultati di importanti data breach: credenziali e dati di autenticazioni le cui password sono in state memorizzate in chiaro, contrariamente a qualsiasi disposizione di legge (e buon senso).
Giorno 1 di 5: Ordine avvocati Caltagirone & Ordine avvocati Matera, complessivamente 371 utenti con password in chiaro! #JustForLulz Stay Tuned! https://t.co/qDHcWUSlNY Zip: https://t.co/gX9yaQhd3r pic.twitter.com/L62yNL2kKc
— LulzSecITA (@LulzSec_ITA) 6 maggio 2019
Il primo giorno, come descritto anche in questo articolo, sono stati colpiti l’Ordine degli Avvocati di Matera e quello di Caltagirone. La notizia è grave, a mio avviso, per due ragioni:
- Gli avvocati maneggiano dati basati sul segreto professionale. Avere accesso a nomi utente, password e quanto altro è grave ed espone il legale (ma soprattutto i clienti) a pesanti conseguenze.
- Ci si aspetterebbe che la sicurezza sia più elevata, soprattutto in questa categoria professionale che, invece, si propone come esempio di mala-sicurezza.
Giorno 2: Ordine degli Avvocati di Piacenza
Il secondo giorno è stato dedicato all’Ordine degli Avvocati Piacenza con un tweet che riporto di seguito per maggiore chiarezza.
Giorno 2 di 5: Ordine avvocati Piacenza, 232 utenti con password in chiaro! Importanti sorprese in arrivo, stay tuned! #JustForLulz https://t.co/c2gNvPjY1s ZIP: https://t.co/6GlUCSx0gH pic.twitter.com/oKbNrtaCxE
— LulzSecITA (@LulzSec_ITA) 7 maggio 2019
Anche qui i dati pubblicati mostrano una selezione delle password a dir poco ridicola. Con la totale assenza, in taluni casi, delle misure minime atte a garantire la forza di una password (caratteri casuali, alfanumericosimbolici, con maiuscole e minuscole e una lunghezza minima di 8 caratteri).
Ordine degli Avvocati di Roma: violate le PEC degli avvocati ma non solo…
Intorno alle 14:40 LulzSec_ITA pubblica una notizia estremamente grave: oltre 30.000 credenziali di PEC sono state trovate e diffuse online. Ci sono indirizzi confermati di avvocati conosciuti ma anche del Sindaco di Roma Virginia Raggi. È un colpo durissimo che apre una falla di sicurezza senza precedenti per l’Ordine degli Avvocati di Roma.
Ringraziamo @Anon_ITA per il lavoro e la diffusione dei dati di accesso alle PEC di circa 30.000 avvocati Romani, tra i quali anche la sindaca @virginiaraggi e altri personaggi simpatici. https://t.co/E5UrzCgl8D Raggi, paga le tasse! #NotJustForLulz pic.twitter.com/3Krquiaqgy
— LulzSecITA (@LulzSec_ITA) 7 maggio 2019
Nello specifico ci sono data breach provenienti anche dal servizio VISURE di cui, in una tabella apposita, risultano esserci anche le credenziali di accesso amministrative che vengono riportate opportunamente oscurate.
La cosa più grave è che il pacchetto dati include screenshots che mostrerebbero l’accesso con privilegi alti a servizi Lextel. È oggettivamente un attacco senza precedenti. Sempre nell’archivio è contenuta corrispondenza privata proveniente direttamente dal Sindaco Raggi e da altri legali: email, allegati, immagini.
La mappa degli attacchi
Gli attacchi segnalati da LulzSec_ITA sono stati riportati su una mappa. Eccone la rappresentazione.
