cybercrime

In corso attacco hacker all’Ordine degli Avvocati di Roma (inclusa Virginia Raggi). Password in chiaro e PEC violate

di |

Intorno alle 14:40 il collettivo LulzSec_ITA pubblica una notizia estremamente grave: oltre 30.000 credenziali di PEC sono state trovate e diffuse online. Ci sono indirizzi confermati di avvocati conosciuti ma anche del Sindaco di Roma Virginia Raggi. È un colpo durissimo che apre una falla di sicurezza senza precedenti per l’Ordine degli Avvocati di Roma.

Ieri era stato annunciato un attacco “multiplo” sia per target, sia per durata. Cinque giorni di attacchi nei quali saranno pubblicati i risultati di importanti data breach: credenziali e dati di autenticazioni le cui password sono in state memorizzate in chiaro, contrariamente a qualsiasi disposizione di legge (e buon senso).

Il primo giorno, come descritto anche in questo articolo, sono stati colpiti l’Ordine degli Avvocati di Matera e quello di Caltagirone. La notizia è grave, a mio avviso, per due ragioni:

  1. Gli avvocati maneggiano dati basati sul segreto professionale. Avere accesso a nomi utente, password e quanto altro è grave ed espone il legale (ma soprattutto i clienti) a pesanti conseguenze.
  2. Ci si aspetterebbe che la sicurezza sia più elevata, soprattutto in questa categoria professionale che, invece, si propone come esempio di mala-sicurezza.

Giorno 2: Ordine degli Avvocati di Piacenza

Il secondo giorno è stato dedicato all’Ordine degli Avvocati Piacenza con un tweet che riporto di seguito per maggiore chiarezza.

Anche qui i dati pubblicati mostrano una selezione delle password a dir poco ridicola. Con la totale assenza, in taluni casi, delle misure minime atte a garantire la forza di una password (caratteri casuali, alfanumericosimbolici, con maiuscole e minuscole e una lunghezza minima di 8 caratteri).

Ordine degli Avvocati di Roma: violate le PEC degli avvocati ma non solo…

Intorno alle 14:40 LulzSec_ITA pubblica una notizia estremamente grave: oltre 30.000 credenziali di PEC sono state trovate e diffuse online. Ci sono indirizzi confermati di avvocati conosciuti ma anche del Sindaco di Roma Virginia Raggi. È un colpo durissimo che apre una falla di sicurezza senza precedenti per l’Ordine degli Avvocati di Roma.

Nello specifico ci sono data breach provenienti anche dal servizio VISURE di cui, in una tabella apposita, risultano esserci anche le credenziali di accesso amministrative che vengono riportate opportunamente oscurate.

La cosa più grave è che il pacchetto dati include screenshots che mostrerebbero l’accesso con privilegi alti a servizi Lextel. È oggettivamente un attacco senza precedenti. Sempre nell’archivio è contenuta corrispondenza privata proveniente direttamente dal Sindaco Raggi e da altri legali: email, allegati, immagini.

La mappa degli attacchi

Gli attacchi segnalati da LulzSec_ITA sono stati riportati su una mappa. Eccone la rappresentazione.