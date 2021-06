Un anonimo profilo su un forum dedito allo scambio di dati ha annunciato la vendita di un archivio contenente le informazioni vaccinali di 7,395,688 italiani. Sebbene non sia possibile verificare la dimensione del database offerto – consultabile solamente dopo l’acquisto -, l’anonimo commerciante ha reso pubblici tre file di esempio, che contengono complessivamente i dati di alcuni migliaia di persone, che Italian Tech ha potuto verificare e che risultano in gran parte, se non del tutto, riferiti a professionisti iscritti all’Ordine nazionale degli psicologi, provenienti da varie regioni d’Italia.

Tra questi compaiono il nome, cognome, indirizzo email e codice fiscale delle vittime, associate a quello che sembra essere lo status vaccinale delle stesse e al numero di iscrizione all’ordine professionale di appartenenza.

Contattate da Italian Tech per telefono, alcune delle vittime hanno confermato l’iscrizione all’Ordine degli psicologi, mostrando comprensibile disappunto per la notizia della fuga di dati. Nessuna delle persone contattate ha voluto precisare se fosse già stata vaccinata contro il Covid-19.

In uno degli archivi divulgati, in formato testuale, compare un riferimento alla “data invio richiesta” e ciascuna delle date indicate risale a un periodo di tempo tra il 27 febbraio e l’8 marzo del 2021. Per ciascuna data è indicato anche un orario, che fa ipotizzare si tratti di una lista automatica di iscrizioni e che potrebbe riferirsi proprio all’iscrizione per l’ottenimento del vaccino. In un secondo file, che contiene oltre 800 identità, si legge invece la dicitura “già positivo”. L’ordine nazionale degli psicologi non ha immediatamente risposto a una richiesta di commento da parte di Italian Tech.

“Ho esfiltrato questi dati durante l’ultimo mese”, scrive nel post con il quale annuncia la vendita, l’anonimo criminale informatico : “Alcune delle vulnerabilità sono ancora aperte e non [sono state] divulgate, ma non sono in vendita”, precisa. Secondo le informazioni condivise pubblicamente dallo stesso criminale, negli archivi ci sarebbero i dati di oltre 7 milioni di utenti, di cui 6.5 milioni di indirizzi email univoci e 5.3 milioni di password, “per lo più protette da cifratura”, aggiunge. Tuttavia, l’Ordine nazionale degli psicologi annovera attualmente circa 100mila iscritti, ed è dunque probabile che l’intero database – qualora esistente – faccia riferimento anche ad altre professionalità. Tra le informazioni generali, il venditore ha precisato che venderà l’intero archivio solamente due volte: un metodo per evitare che i dati al suo interno perdano valore.

“L’ipotesi più probabile è che sia stato compromesso uno dei portali di prenotazione, che spiegherebbe la presenza dei consensi”, ha commentato a Italian Tech Matteo Flora, esperto di sicurezza informatica e tra i primi ad analizzare i campioni: “Su come si siano recuperati i dati, la ‘moda’ del momento è o una comune SQL-Injection o i sempre più diffusi attacchi a delle API lasciate insicure”. Il riferimento è a due differenti metodi di attacco di un sistema informatico, generalmente fondati su una scarsa configurazione o manutenzione degli stessi. Italian Tech ha provato a contattare il venditore tramite i canali da lui indicati per condurre trattative private, ma lo stesso non ha voluto rispondere alle nostre domande.