Ieri sera un hacker—o come si è definito lui stesso, Bruce Lee of the Internet, Security Pentester e Cyber Detective—, noto su Twitter con l’handle @Kapustkiy, ha pubblicato su pastebin un dump contenente 9.000 username e password trafugati dai database del sito del Dipartimento della Funzione Pubblica—Secondo quanto dichiarato dall’hacker, è bastato un semplice attacco mediante sql injection per trafugare i database.

L’hacker, diciassettenne, ha ottenuto un database da 45.000 dati di login (email e password, quest’ultime crittografate e per la maggior parte appartenenti a enti della pubblica amministrazione), ma ha deciso di pubblicarne solo 9.000—Secondo quanto dichiarato a Softpedia inoltre, prima del dump aveva tentato di contattare le autorità competenti per informarle circa la breccia, non ottenendo risposta.

Kapustkiy aveva effettuato un’operazione simile poco tempo prima con il sito internet di un’Ambasciata Indiana.

Dopo l’attacco, il sito di mobilita.gov.it è andato in manutenzione nella mezzanotte di ieri—Secondo quanto dichiarato da Kapustkiy, la vulnerabilità è stata segnalata alle autorità 2 giorni prima del dump non ottenendo risposta. Secondo quanto dichiarato da Kapustkiy, ancora, il sito era provvisto di 6 database, e solo uno di questi è stato sottratto.

Abbiamo contattato le autorità competenti per una dichiarazione, ma al momento della pubblicazione non abbiamo ancora ottenuto risposta.

Con il contributo di Riccardo Coluccini.