In meno di due ore un gruppo di hacker etici ha dimostrato di poter superare le difese di 50 università inglesi senza troppa fatica.

Il «penetration test», voluto dall’agenzia britannica che si occupa di fornire servizi Internet a università e centri di ricerca nel Regno unito, ha evidenziato in questo modo l’estrema facilità di accedere a dati personali, sistemi finanziari e reti di ricerca. In molti casi i white hat hacker sono stati capaci di ottenere le informazioni su studenti e impiegati con un successo del 100% usando tecniche di «spear phishing», la pesca mirata di dati personali che usa email personalizzate e siti clone che chiedono di reimpostare login e password per appropriarsene.

Ma perché l’hanno fatto? Università e centri di ricerca britannici hanno subito solo l’anno scorso più di mille tentativi di attacco orientato al furto di dati o all’interruzione dei servizi.

Il motivo è facile da capire: le università hanno molte informazioni sensibili sugli studenti ma spesso non hanno definito misure minime di sicurezza informatica, inoltre detengono grandi quantità di dati provenienti dalla ricerca in settori avanzati, sfornano brevetti, sviluppano prodotti commerciali ad alta tecnologia, partecipano a progetti internazionali come partner di industrie ed istituzioni.

L’ultimo test è avvenuto lo stesso giorno in cui il Georgia Institute of Technology, di Atlanta, negli Usa, nota come Georgia Tech – una delle università più prestigiose al mondo -, ha confermato l’esposizione delle informazioni personali di oltre un milione di studenti e professori causata dalla violazione di una semplice web app universitaria.

L’accesso non autorizzato è avvenuto per la prima volta il 14 dicembre 2018, ma non si sa per quanto tempo l’intrusore abbia avuto accesso a nomi, indirizzi, numeri della previdenza sociale, data di nascita degli studenti, attuali, precedenti e futuri, che hanno chiesto di iscriversi presso l’università.
Tutto questo è accaduto su una scala ridotta anche in Italia per opera degli Anonymous che – a loro dire – volevano sensibilizzare i giovani sul tema della sicurezza informatica, sia per opera di soggetti ancora sconosciuti.

Questi ultimi sono entrati in possesso dei dati del personale universitario e degli iscritti di varie università italiane attraverso il databreach di 763 milioni di account di verifications.io, un servizio di validazione delle email da usare a fini di marketing commerciale e politico. Il team di cybersecurity dell’Università Sapienza di Roma, tra i meglio preparati contro queste evenienze, ne ha dato notizia a febbraio. Ad essere coinvolti sono stati 1675 indirizzi della Sapienza che hanno usato i servizi MyHeritage, MyFitnessPal e ShareThis.

Bucare un account universitario è insomma più facile che attaccare le infrastrutture di aziende come Eni o Leonardo, ma in genere l’attività degli hacker non si ferma qui. L’esfiltrazione di dati sensibili di studenti e ricercatori universitari viene spesso integrata con un’attività di doxxing, la pratica cioè di costruire dei «dossier» relativamente ai soggetti di interesse. Il doxxing, come spiegato in un bell’articolo di Fastweb digital magazine, non è solo il risultato di un’attività di stalking online che punta a rovinare la reputazione delle vittime, ma uno strumento di spionaggio che usa tecniche avanzate che vanno dallo sniffing delle connessioni alla geolocalizzazione. È così che la mancata protezione del nostro account si trasforma per l’attaccante nel trampolino di lancio dentro la vita di qualcun altro.