Tesoro, Giustizia, Ambiente: gli Anonymous italiani hanno fatto man bassa dei dati personali di centinaia di lavoratori, dirigenti e sindacalisti di quei Ministeri e ieri sera li hanno diffusi sul web. Tra i dati divulgati ci sono perfino quelli degli attivisti dell’Unione Sindacale di Base.

Si tratta di un tesoretto di nomi, cognomi, email, password in chiaro e crittografate, copiati e incollati su pagine web temporanee, i pastebin, che permettono di pubblicare frammenti di testi informatici usati nel passato dai programmatori per la scrittura cooperativa di software.

Nel caso dei profili legati ai sindacati di base sono state rese pubbliche anche le singole donazioni in favore del sindacato e i versamenti nominativi a favore degli operai dell’Ilva.

Nel comunicato di rivendicazione i sindacalisti sono accusati senza distinzione di essere «un branco di incompetenti senza ideali».

Pochi giorni fa, gli stessi autori del gesto, una “costola” italiana di Anonymous nota come LulzSec Italia, aveva distribuito migliaia di dati trafugati dal sito del patronato Cisl Inas, l’Istituto Nazionale di Assistenza Sociale, all’interno del quale, avevano rivelato, «abbiamo potuto prelevare senza alcuna difficoltà, dati personali – nome, cognome, email, password in chiaro, indirizzi di residenza e tipo di impiego – di 37.500 utenti. Tra cui 135 utenti facenti parte della pubblica sicurezza».

L’incursione è avvenuta nello stesso arco di tempo in cui un hacker dal nome R0gue_0 diffondeva i dati trafugati da Rousseau, la piattaforma associativa del Movimento Cinque Stelle. Agendo in prossimità delle votazioni dei suoi iscritti l’hacker aveva fatto intendere di poterle condizionare, ridicolizzando così gli esperimenti di democrazia elettronica di Casaleggio e Co. Comunicando via Twitter questi fatti molto diversi tra loro, gli hacker hanno voluto rimarcare la mancanza di sicurezza delle piattaforme dove erano immagazzinati questi dati. Ogni databreach, la violazione dei database che contengono i dati, infatti è solo il primo passo dei furti di identità che i malfattori poi utilizzano per sottrarre denaro alle vittime o trarre altri vantaggi spacciandosi per loro.

I dati personali come nome, cognome, residenza, data di nascita, conto corrente, possono infatti essere usati per richiedere l’apertura di un conto online, ottenere una carta di credito, un prestito, il noleggio di un’auto, fare acquisti su piattaforme di e-commerce. E quelli citati non sono gli unici dati personali a rischio: i dati sanitari e assicurativi sono altrettanto importanti.

Ma LulzSec e R0gue_0 diffondendo quei dati hanno dimostrato di non aver interesse a lucrare dalla loro vendita nei circuiti criminali, quanto a denunciare la scarsa competenza di chi dovrebbe proteggere quei dati così delicati.
Infatti come risulta nel Databreach Investigation Report 2018 di Verizon che ha indagato su più di 2000 violazioni di dati accertate, il 68% di queste è stata individuata dopo molti mesi e l’87% delle violazioni analizzate ha compromesso i dati nel giro di pochi minuti dal momento in cui è stato sferrato l’attacco.

La maggior parte delle violazioni in genere non viene resa nota né dagli aggressori che vogliono monetizzare subito quei dati, né dagli aggrediti, che nel farlo si rovinerebbero la reputazione.

Insomma, la denuncia estrema di questi hacker ha tutto l’aspetto di una terapia d’urto, una pericolosa ed eccessiva “cura da cavallo”, per chi si dimentica dell’importanza della privacy e della protezione di dati sensibili come l’appartenenza politica e sindacale.