Il gruppo hacker LulzSec ha comunicato stamane tramite il proprio profilo Twitter di essere riuscito ad entrare nei sistemi di uno dei principali ospedali italiani, l’IRCCS Ospedale San Raffaele che fa parte del Gruppo San Donato. In pericolo la riservatezza dei dati del personale e dei pazienti. Il data breach risalirebbe al marzo scorso, quando LulzSec avrebbe individuato e sfruttato una vulnerabilità. Il San Raffaele avrebbe chiuso il varco due mesi fa, ma ad avviso dei cyber-attivisti non avrebbe proceduto a notificare entro 72 ore la violazione di sicurezza al Garante (come previsto dall’art. 33 del GDPR) e non avrebbe informato i diretti interessati (come previsto dall’art. 34 del regolamento stesso).
Il tenore dei tweet fa presumere che LulzSec nelle scorse settimane abbia optato per mantenere un silenzio social sull’accaduto, dal momento che l’ospedale era in piena emergenza Covid-19. Ora che la situazione sanitaria è migliorata, la tregua pare finita. Ed è il silenzio sugli obblighi di data protection conseguenti alla violazione, la principale colpa che viene imputata al San Raffaele.
Il gruppo ha dunque pubblicato alcuni sample del bottino cui ha avuto accesso minacciando di divulgare a breve il resto qualora la dirigenza ospedaliera non dia conto alle sue domande: ” Migliaia di utenti con password in chiaro, tra cui pazienti e infermieri. Al San Raffaele nessuno è preoccupato del #databreach? Il #gdpr è andato a farsi fottere? Dobbiamo rilasciare tutti i dati per ottenere qualche risposta? ”
Per comprovare l’avvenuta incursione, LulzSec ha pubblicato anche lo screenshot di un database contenente centinaia di nomi, cognomi, email aziendali e password del personale di struttura. Se le immagini pubblicate sono vere ed attuali, le credenziali ospedaliere sembrano conservate in assenza di misure crittografiche e la quasi totalità delle password consistono nel nome della persona (in barba ai dettami basici di sicurezza informatica). Stando a quanto riportato da Repubblica, tra i primi a dare la notizia, un quantitativo maggiore di dati sarebbe già stato pubblicato in lavagne temporanee su web come Pastebin.
Intorno alle 15.00 sono state anche diffuse via Twitter le credenziali ospedaliere del Prof. Burioni, noto virologo, probabilmente perché ritenuto colpevole di aver pubblicamente giudicato secondario il valore del diritto alla privacy rispetto a quello della tutela della salute in tema di applicazioni per il tracciamento dei contagi.
Contattato dall’AGI l’ospedale ha confermato l’incursione ma ha negato che gli hacker avessero raggiunto i dati sensibili dei pazienti con ciò, probabilmente, intendendo i dati anamnestici e diagnostici. Intorno alle 18,00 la piccata risposta del gruppo che ha fornito evidenza di essere entrato nel programma di accettazione pubblicando uno screenshot dell’anagrafica e tweettando: “Ditelo a chi ha fatto l’accettazione al @SanRaffaeleMI che i propri dati personali non siano “sensibili”. Assumetevi le vostre responsabilità! “
