|  

lunedì 21 novembre 2016

Kapustkiy, il 17enne che ha bucato il sito della Funzione Pubblica e diffuso le credenziali di circa 9.000 dipendenti.


Nel corso dello scorso weekend il sito del Dipartimento della Funzione Pubblica, l'istituzione governativa italiana che si occupa di digitalizzare la pubblica amministrazione, è stato vittima di un ragazzo di 17 anni che, sfruttando un errore nella configurazione dei sistemi, è riuscito a bucare il portale ed a trafugare i dati di circa 45.000 dipendenti pubblici, di cui solo circa 9.000 sono finiti su Pastebin. In pratica a compiere tale attacco ai danni del sito Mobilita.gov.it, (ancora in manutenzione), è stato un "hacker" noto con lo pseudonomo "Kapustkiy", un ragazzo di 17 anni le cui origini restano ignote, (c'è chi dice sia russo, chi dice sia neerlandese, chi coreano e chi ucraino, ma considerato che il dominio del suo indirizzo e-mail risulta essere ".ch", potrebbe essere svizzero; anche se non è detto che lo sia), che da tempo prende di mira le vulnerabilità dei siti istituzionali di tutto il mondo per sottolineare la mancanza di sicurezza nei sistemi informatici di questi siti web. Al riguardo lo stesso ragazzo tramite Twitter ha spiegato: "La cosa divertente di tutta questa storia è che non sono nemmeno un hacker, ma i media continuano a sostenerlo". Difatti Kapustkiy si definisce "Il Bruce Lee di Internet, Security Pentester e Cyber Detective": un ragazzo che tramite la tecnica basilare SQL Injection è riuscito, appunto, ad accedere ad un database contenente le credenziali di 45.000 utenti del Dipartimento di Funzione Pubblica, sotto la Presidenza del Consiglio. Ad ogni modo, come ha spiegato in più occasioni, l'obiettivo del 17enne non è quello di diffondere le informazioni sensibili in Rete, (infatti anche in questo caso si è limitato a pubblicare solo una parte delle informazioni trafugate e che, tra l'altro, poi ha cancellato), ma quello di evidenziare il problema ai responsabili del sito, sperando che migliorino la sicurezza informatica di queste piattaforme. Tra l'altro sia prima che dopo l'attacco informatico il giovane Kapustkiy ha inviato una serie di e-mail ai funzionari della pubblica amministrazione per informarli della vulnerabilità, ma, stando a quanto riportato, sembrerebbe che non abbia ricevuto alcuna risposta dai responsabili del sito. Comunque sia sull'argomento è intervenuto Andrea Rigoni, consulente NATO e di vari governi in tema di cybersicurezza, il quale ha, infine, spiegato: "Questo è sintomo di quanto sia scarsa la cultura informatica per la sicurezza dei dati pubblici in Italia. È come se un ladro non professionista, minorenne, fosse riuscito a introdursi in un palazzo del governo, armato solo di grimaldello, dove ci sono documenti riservati. E non sia scattato nessun allarme anche se il ladro si è messo a gridare per attirare l'attenzione delle guardie".

Di seguito alcuni tweet di Kapustkiy in merito all'attacco:



Nessun commento:

Posta un commento

Related Posts