domenica 18 dicembre 2011

Bucato un sito del Ministero dell'Innovazione

Oggi, un certo Thorwed ha pubblicato su pastebin una copia del DB utenti del sito qualitapa.gov.it appartenente al Ministero per la Pubblica Amministrazione e l'Innovazione.

Sulla pagina di pastebin si possono leggere userid, password e email dei circa 9000 utenti registrati del sito. Ho chiaramente fatto una delle solite "telefonatine" e mi hanno assicurato che la notizia era arrivata da circa un'ora attraverso una segnalazione internazionale. 

Questo evento non è particolarmente diverso da altri che avvengono ogni giorno in molti siti istituzionali e privati in ogni parte del mondo. Ciò che lo rende diverso da molti altri, però, è la nostra situazione.

Come i lettori di Punto 1 sanno bene, l'Italia non si è ancora dotata di un CERT nazionale, ovvero di una struttura che si faccia carico delle attività di contenimento degli incidenti, che dia una direzione ufficiale e un coordinamento alle risorse che operativamente si faranno carico di "rimettere le cose a posto".

Quindi, ad esempio, ora sarebbe altamente necessario che gli ignari utenti i cui indirizzi mail e password sono stati pubblicati, vengano avvisati immediatamente per cercare di minimizzare il danno e dare modo a tutti loro di cambiare le password (soprattutto se hanno utilizzato la stessa anche in altri contesti). 

Ebbene in questo momento nessuno sa chi ha il ruolo per farlo. E' un'attività che non è allocabile in nessuna struttura ufficiale ad oggi esistente.

Per cui con qualche amico stiamo ragionando su una iniziativa "volontaristica".

Insomma un gran pasticcio.

Speriamo che questa situazione serva a ribadire (se ancora ce ne fosse bisogno) che l'Italia ha bisogno di un CERT Nazionale.


8 commenti:

Anonimo ha detto...

Ciao,

allora abbiamo inviato nella notte fra domenica 18 e lunedì 19 (in circa 5 ore) 9141 email di avviso di cambiare password su 2575 domini unici prelevati dal leak.

Di queste circa 1616 sono "bounced back" per motivi dei più variegati.

Adesso, alle 8.21 del Lunedì 19 ci sono ancora 176 email in coda da spoolare per problemi di mailserver dei destinatari (timeout vari).

Questa mattina ragionevolmente un po' di persone cambieranno la loro password onde evitare che questo "data leak" sia un onda che porti a centinaia di ulteriori data-leak per via di utenti che usano la stessa password su più sistemi informativi.


Il testo dell'email inviata a tutti suonava così:

Salve,
sta ricevendo questa email perche' le password associate alla sua utenza del sito http://qualitapa.gov.it sono state compromesse e pubblicate su internet, con annessa visibilita' mediatica pubblica dell'evento.

- Sintesi dell'accaduto (lingua italiana)
http://www.matteocavallini.com/2011/12/bucato-un-sito-del-ministero.html

- Pubblicazione di 9000 password del ministero (inglese):
http://www.cyberwarnews.info/2011/12/18/9000-accounts-leaked-from-italian-minister-for-public-administration-and-innovation/

- Elenco delle password pubblicate
http://pastebin.com/raw.php?i=wVSq1Ujb

Questo messaggio vuole avvisarvi di CAMBIARE LE PASSWORD dei vostri acccount USERNAME e EMAIL.

Spesso si utilizza la stessa password fra piu' sistemi informativi, per cui se la password da lei usata su qualitapa.gov.it consente l'accesso ad altri sistemi informativi (come l'email o il gestionale aziendale), dovete subito CAMBIARE LE VOSTRE PASSWORD.

Suggeriamo vivamente di CAMBIARE LA PASSWORD relativa alla vostra utenza su:
- Sito web http://qualitapa.gov.it (quando fosse nuovamente disponibile)
- Sistema di Accesso Email della propria agenzia pubblica o personale
- Sistemi informativi accessibili da internet con la vostra utenza


Questo messaggio e' stato inviato in modo indipendente da qualunque coordinamento o collegamento con autorita' o enti di vigilanza, esclusivamente come iniziativa civica d'urgenza, considerati i rischi potenziali legati a questa perdita di dati e ad altre che potrebbero accadere senza un celere cambio di password.



Vi ricordiamo di attenervi esclusivamente alle comunicazioni ufficiali degli uffici preposti, questo messaggio inviato d'urgenza e' solo di carattere informativo al fine di consentire una piu' celere risposta all'incidente informatico, invitando a un cambiamento di password delle proprie utenze accessibili da internet.


Lunedi' mattina cambiata la vostra password e contattate il vostro referente per la Sicurezza informatica o per i sistemi informativi.


Cordiali Saluti


p.s. NON rispondere a questa email, e' stata inviata automaticamente.

Matteo Cavallini ha detto...

Ciao "Volontario Anonimo" ;-)),

grazie per l'aggiornamento. Speriamo che molti utenti cambino la loro password prima che qualche simpaticone possa approfittare della situazione.

Ciao e grazie,
Matteo

Anna ha detto...

Davvero Grazie! (ho ricevuto l'e-mail e sono in elenco...) Non avevo sentito della notizia e quindi ridico GRAZIE!!!
Segnalerò dell'accaduto e del vs provvidenziale intervento, per puntare i fari sulle debolezze da voi segnalate.
Anna

Matteo Cavallini ha detto...

Ciao Anna e grazie delle tue parole.

In questa fase di "vacatio" cerchiamo di fare il possibile.

Un caro saluto,
Matteo

Anonimo ha detto...

dopo aver ricevuto la e-mail ho controllato: io appaio in due situazioni ma le password abbinate sono errate.
Gianfranco

Anonimo ha detto...

Grazie per l'opera meritoria Matteo.

Leandro Gelasi

Matteo Cavallini ha detto...

@Gianfranco
Ciao e grazie per aver lasciato la tua testimonianza. Riguardo alle password, verosimilmente, ciò che è stato pubblicato è ciò che era presente sul DB e quindi è ciò che risulta ufficialmente. Forse alcune modifiche successive possono non essere andate a buon fine e quindi potrebbe apparire una password in "vecchia" versione.
Ciao e alla prossima,
Matteo

@Leandro
Ciao Leandro e grazie per l'apprezzamento.

A presto,
Matteo

Anonimo ha detto...

certo...vedere ancora le password storate sui DB invece che gli hash crittografici la dice lunga...

Posta un commento

http://www.wikio.it