LulzSec sottrae dati all'Ospedale San Raffaele di Milano e minaccia di pubblicarli in chiaro

LulzSec sottrae dati all'Ospedale San Raffaele di Milano e minaccia di pubblicarli in chiaro

LulzSecITA ha annunciato su Twitter di aver violato, a marzo, i sistemi informatici del San Raffaele di Milano e minaccia di pubblicare i dai in chiaro. L'attacco è avvenuto a marzo, ma l'ospedale non lo ha ancora notificato alle autorità

di pubblicata il , alle 17:41 nel canale Security
LulzSecIta
 

I dati dell'ospedale San Raffaele di Milano sono a rischio. Oggi, 21 maggio, gli hacker di LulzSec (da non confondere con la sezione italiana di Anonymous) hanno postato un tweet allegando alcuni screenshot che dovrebbero dimostrare come il gruppo sia riuscito a superare le difese dell'ospedale già a marzo.

Potrebbe sembrare uno dei tanti annunci per vantarsi delle scorribande, ma LulzSec più che criticare le scarse difese dei sistema, sembra più interessata a far scoppiare una polemica: perché l'ospedale non ha ancora avvisato le autorità e contattato le persone interessate dal data breach? Il GDPR, infatti, impone che questo avvenga entro 72 ore dalla scoperta del'attacco.

LulzSec sfida il San Raffaele e minaccia di pubblicare in chiaro i dati di utenti e dipendenti

Poche ore dopo l'annuncio, sul canale Twitter di LulzSecITA sono stati pubblicati altri tweet sull'argomento, contenenti ulteriori prove dell'attacco e, soprattutto, minacce. 

Per dimostrare che hanno stanno facendo sul serio, e che hanno veramente in mano queste informazioni, gli hacker hanno anche pubblicato le credenziali di accesso del virologo Roberto Burioni, che lavora per l'ospedale e che mostra di non avere grandi competenze informatiche: la sua password è il tipico esempio di chiave di accesso da NON usare mai. 

Da parte del San Raffaele, non è arrivata ancora alcuna risposta e nemmeno Burioni, solitamente molto attivo sui social, Twitter in particolare, ha commentato l'accaduto.

Perché questo data breach è grave?

Non è il primo attacco a una struttura sanitaria, né sarà l'ultimo, ma l'aspetto più importante di questa vicenda è che gli attaccanti non sembrano motivati da ragioni economiche. L'obiettivo di LulzSec è quello di mettere in evidenza una questione diversa: l'immobilità del San Raffaele che, a mesi dalla violazione, non ha ancora avvisato chi di dovere, nonostante sia obbligata a farlo dalle leggi comunitarie. Un punto che viene sottolineato anche dall'esperto di sicurezza informatica Umberto Rapetto su Infosec

Naturalmente, potrebbe anche trattarsi di un fake: non possiamo escludere a priori che LulzSec stia bluffando e in realtà non abbia in mano nulla. Così come non è da escludere che, se l'attacco è stato portato avanti con successo, i responsabili informatici dell'ospedale abbiano scoperto la violazione solo oggi, quando gli autori sono venuto allo scoperto.  

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
biffuz21 Maggio 2020, 19:00 #1
Io mi sono sentito dire davvero che dovevo lasciare le password in chiaro "per evitare casini"...
giovanni6921 Maggio 2020, 23:08 #2
FAM21 Maggio 2020, 23:20 #3
Accumuliamo dati sanitari, cosa potrebbe mai succedere di sbagliato?

Se i dettagli delle password in chiaro e della mancata notifica dell'intrusione entro 72 ore alle autorità fossero veri, saremmo al cospetto, senza iperboli, di attività criminale.
bio.hazard23 Maggio 2020, 07:47 #4
Sono "attività criminali" se le fai tu a casa tua o nella tua dittarella individuale, ma se le fanno gli "amici degli amici" invece...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^