Corriere del Mezzogiorno (Campania)
Hacker in azione «Attacco» alla newsletter del Comune
Attacco hacker al sito istituzionale del Comune di Napoli. Gli utenti registrati per ricevere la Newsletter del sito del Municipio sono stati avvertiti con una «Comunicazione di sicurezza» nella quale si legge che «a causa di una violazione di sicurezza dei nostri server abbiamo ragione di credere che si sia verificata una diffusione non autorizzata dei dati personali degli utenti iscritti alle community del sito web www.comune.napoli.it».
Ma quali rischi corrono eventualmente gli utenti registrati sul sito del Municipio? Palazzo San Giacomo spiega che «nel fine settimana appena trascorso il Comune di Napoli è stato informato attraverso una email del Csirt italiano
di un possibile attacco informatico ai server su cui è ospitato il sito web istituzionale
www.comune.napoli.it.». Ed ancora: «Il Csirt ha comunicato che sul sito Internet raidforums.com risultavano pubblicati i dati personali degli utenti registrati al sito www.comune.napoli.it (nome, cognome, email, username e password di accesso alla sola community web del portale, cioè alle newsletter presenti sul sito istituzionale)».
Ricevuta la segnalazione del Csirt, il Comune di Napoli «ha attivato la società che si occupa della gestione dei server e del software per la gestione dei contenuti del sito effettuando il cambio automatico delle password di tutti gli utenti — esclusivamente quelli iscritti alle newsletter — del sito www.comune.napoli.it inserendo, per ciascuno di essi, una password complessa costituita da una stringa casuale di 32 caratteri criptata». Secondo le fonti ufficiali, dunque, la vulnerabilità coinvolge solo una specifica applicazione del sito (l’accesso alle newsletter) «che è stata ovviamente messa subito offline». Sempre secondo quanto riferisce il Comune, gli utenti registrati non dovrebbero correre particolari pericoli in quanto «i dati personali oggetto dell’attacco sono da considerarsi comuni e le credenziali di autenticazione consentivano unicamente di accedere al sito per usufruire del solo servizio di newsletter. Nessun ulteriore dato personale dell’utente, rispetto a quelli sopra indicati, era accessibile in seguito all’autenticazione».
Da qui, la comunicazione via email inviata agli utenti relativa alla violazione di sicurezza invitandoli a reimpostare la propria password per il sito e suggerendo agli stessi di cambiare le credenziali di accesso anche per altri siti o piattaforme solo nel caso in cui avessero utilizzato le stesse credenziali usate per l’iscrizione alla newsletter».
Il Comune «ha notificato anche al Garante per la privacy la violazione dei dati personali» ed ha annunciato che «presenterà nelle prossime una denuncia alla polizia postale per reati telematici».