SU INTERNET CON CINQUANTA EURO SI POSSONO RECUPERARE I NUMERI DI TELEFONO PRIVATI DI TUTTI I VERTICI DELLO STATO: DA SERGIO MATTARELLA A GIORGIA MELONI, DAI MINISTRI AI DIPENDENTI DI POLIZIA, CARABINIERI E GUARDIA DI FINANZA – NON SERVONO DOTI DA HACKER: BASTA INSTALLARE UN PLUG-IN DI UN PORTALE DI “LEAD GENERATION” E IL GIOCO È FATTO – A SCOPRIRE L’ENORME FALLA, DEGNA DEL “SIGNAL-GATE” DELLA CASA BIANCA, È STATO UN ESPERTO DI INFORMATICA, ANDREA MAVILLA, CHE HA SEGNALATO TUTTO ALL’AGENZIA DI CYBERSICUREZZA. RISPOSTA? “BAH, A NOI PARE UNA BUFALA”. MA NON LO È AFFATTO…
1. LA RUBRICA (PRIVATA) D ELLO STATO È TUTTA ONLINE
Estratto dell’articolo di Giulio Cavalli e Antonio Massari per “il Fatto quotidiano”
I CONTATTI DI SERGIO MATTARELLA DISPONIBILI ONLINE
C’è, tanto per iniziare, il numero del cellulare del presidente della Repubblica Sergio Mattarella. Abbiamo verificato che fosse davvero il suo. Sì, lo è. E non è quello istituzionale, ma quello che usa per i contatti privati, con gli amici o i familiari.
Per una cinquantina di euro al mese potreste aggiungerlo alla vostra rubrica insieme, giusto per fare un altro esempio, con quello della premier Giorgia Meloni, in modo da avere l’accoppiata presidenziale. Anche in questo caso non si tratta del cellulare istituzionale, ma di quello privato, al quale potreste aggiungere un suo indirizzo email personale.
Allo stesso prezzo potreste aggiungere i contatti del ministro della Difesa, Guido Crosetto, o del ministro dell’Interno, Matteo Piantedosi. Abbiamo verificato che anche per loro, come per Meloni e Mattarella, si tratta di numeri effettivamente intestati e attivi.
IL FATTO QUOTIDIANO E L ARTICOLO SUI NUMERI DI TELEFONO DEI VERTICI DELLO STATO DISPONIBILI ONLINE
Il punto è che non stiamo neanche parlando di dark web […]. Avviene tutto alla luce del sole. Con buona pace non soltanto della privacy delle nostre istituzioni, ma anche di basilari regole di cybersicurezza […]
Per capirci, chiunque entri in possesso di questi numeri, con un minimo di dimestichezza nel campo informatico, potrebbe decidere di geolocalizzare il capo dello Stato o il capo del governo […].
Per ovvi motivi non divulgheremo il nome delle piattaforme (ne abbiamo contate otto) sulle quali reperire queste informazioni. Ci limiteremo a spiegare il meccanismo che porta a questo risultato.
Si tratta dei cosiddetti portali di lead generation, piattaforme online progettate per raccogliere contatti qualificati (lead) interessati a determinati prodotti o servizi, che poi vengono trasmessi o venduti ad aziende che vogliono entrare in contatto con quei potenziali clienti.
Si navigano facilmente. Si passa da un’azienda all’altra con una semplice ricerca. Per iscriversi è sufficiente avere una email aziendale ed essere disposti a pagare un abbonamento che si aggira sui 600 euro all’anno. O accedere gratis con poche ricerche a disposizione per un periodo di tempo limitato. Le piattaforme più evolute offrono anche un comodo plug in da installare sul proprio browser con cui si naviga in Rete. […] E qui viene il bello.
I CONTATTI DI GUIDO CROSETTO DISPONIBILI ONLINE
Navigando su Chrome, per esempio, si può entrare normalmente nel social professionale LinkedIn e – utilizzando i plug in in questione […] – ottenere in tempo reale i dati riservati che non sarebbero altrimenti accessibili.
Di piattaforme (e plug in) simili ne abbiamo trovate almeno 8. Ne abbiamo testate a fondo tre. Hanno sede in Russia, Israele e Usa.
[…] non bisogna essere James Bond o un hacker professionista, ma un semplice utente, collocato ovunque nel mondo ci sia una connessione, per avere a disposizione quello che, nei fatti, è un enorme database. E nel quale, giusto per fare un altro esempio, abbiamo trovato i riferimenti di Raffaele Fitto, vice di Ursula von der Leyen, ex ministro per gli Affari europei, le politiche di coesione e il Pnrr nel governo Meloni.
A portata di clic ci sono anche 2.125 contatti della Presidenza del Consiglio, 13.822 di dipendenti (ed ex dipendenti) del ministero della Giustizia.
Ben 4.871 profili che fanno riferimento al ministero dell’Interno. E poi 11.688 persone impiegate nel ministero della Difesa, oltre a Inps, agenzie governative, regioni, comuni e così via. Per le forze dell’ordine troviamo i profili di 3.805 dipendenti della Polizia di Stato, 6.301 dell’Arma dei carabinieri, 6.018 della Guardia di Finanza.
A scoprire il meccanismo è stato l’esperto di informatica Andrea Mavilla, e sulla base delle sue scoperte adesso ha avviato un’indagine la Polizia postale […].
Il punto è che i dati personali […] spesso vengono volontariamente messe a disposizione di portali o piattaforme social da parte degli utenti quando rilasciano il consenso all’iscrizione. Può anche accadere, però, che i dati personali siano ottenuti attraverso degli attacchi informatici e poi venduti illegalmente sul dark web. E la polizia postale sta innanzitutto indagando sulla “fonte dei dati” […]
2. CYBERSECURITY: “PER NOI NON C’È ALCUN DATABASE”
Estratto dell’articolo di G. Cav. e A. Mass. per “il Fatto quotidiano”
IL FATTO QUOTIDIANO E L ARTICOLO SUI NUMERI DI TELEFONO DEI VERTICI DELLO STATO DISPONIBILI ONLINE
“Allo stato attuale delle nostre conoscenze non c’è alcun data base con i dati dell’Agenzia per la cybersicurezza. E quindi, per quello che riguarda i dati su Acn, non ravvisiamo alcun pericolo per la sicurezza nazionale.
Per quanto riguarda l’Acn, c’è soltanto un signore che ha fatto un commento su Linkedin. Se questo signore ritiene di avere qualcosa da mostrarci, esistono i canali ufficiali per comunicarcelo. E se li utilizzerà, se ci mostrerà qualcosa che mette in pericolo la sicurezza nazionale, sarà ben accolto. Deve esistere un tema di sicurezza nazionale”.
BRUNO FRATTASI CON LA MAGLIETTA DI FRATELLI D ITALIA ALLA CONVENTION DI PESCARA - APRILE 2024
È questa la posizione ufficiale della Agenzia per la Cybersicurezza Nazionale rispetto alle notizie scoperte dall’esperto informatico Andrea Mavilla […].
La risposta della Acn al commento di Mavilla è la seguente: “Bah, a noi pare una bufala. Saluti”. […]
Mavilla sostiene di aver contattato per telefono, prima di scrivere il suo commento sul portale Linkedin della Acn, una funzionaria della Agenzia, appartenente alla Divisione Gestione Rischio, ma senza ottenere alcun risultato (anche in questo caso non s’è mosso seguendo la procedura formale prevista).
Il giorno seguente – sostiene ancora – ha inviato una mail all’indirizzo della segreteria del direttore generale di Acn Bruno Frattasi. Un dato è certo: Acn ieri ha puntualizzato che se Mavilla utilizzerà i canali ufficiali l’Agenzia valuterà quello che ha da mostrare.
[…]
3. “IO LI HO AVVISATI, MA PER LORO È SOLO UNA BUFALA”
Estratto dell’articolo di G. Cav. e A. Mass. per “il Fatto quotidiano”
ANDREA MALVILLA SCRIVE ALL AGENZIA PER LA CYBERSICUREZZA
Tutto è iniziato il 17 marzo. Andrea Mavilla è un esperto di cybersicurezza. Ha lavorato per 13 anni in Apple, da sempre si occupa di sicurezza informatica. Durante una consulenza si imbatte per caso in un portale di lead generation. Ci sono tutti gli amministratori delegati delle principali aziende italiane, tutti i dirigenti e lo stesso vale per ministeri e Presidenza del Consiglio. Con un clic si accede a ruoli, indirizzi email e dati anche personali.
“Dovevo capire in che modo i criminali fossero riusciti ad accedere a dati tanto riservati”, racconta. Dall’amministratore delegato fino all’ultimo centralinista. Dopo ore di analisi davanti al monitor su alcuni software di CRM in cloud e piattaforme di lead generation, inizia a notare qualcosa di anomalo: “Erano presenti dati riconducibili proprio alla società per cui stavo indagando”.
Ma non solo, ci sono anche informazioni sensibili appartenenti a numerosi esponenti di governo.“A quel punto capii che la questione andava ben oltre il caso specifico”. Qui inizia il percorso di Mavilla per avvertire le istituzioni. […]
[…] Il 24 marzo Mavilla scrive a Matteo Piantedosi direttamente su WhatsApp: “Onorevole ministro Piantedosi, mi permetto di scriverLe in via diretta per segnalarLe una questione che ritengo di estrema rilevanza per la sicurezza nazionale”. E gli spiega: “Durante una mia consueta attività di navigazione con il browser Tor (poi ha verificato anche navigando in chiaro, ndr), ho riscontrato la presenza pubblica e facilmente accessibile di una quantità significativa di dati riconducibili a enti e istituzioni dello Stato. In particolare, oltre a informazioni relative a un’agenzia governativa, risultano esposti anche dati appartenenti a persponale delle forze dell’ordine, tra cui Polizia di Stato, Carabinieri e Guardia di Finanza.
I CONTATTI DI GIORGIA MELONI DISPONIBILI ONLINE
Comprendendo la delicatezza del tema, ho ritenuto doveroso segnalare tempestivamente quanto riscontrato sia a esponenti che si occupano di sicurezza nazionale, sia al Commissariato di Pubblica sicurezza online. Tuttavia temo che la gravità del caso sia stata fortemente sottovalutata (...)”.
Nessuna risposta, come comprensibile, e la sensazione, da parte di Mavilla, di essere stato tempestivamente bloccato su WhatsApp dal ministro Piantedosi. Ma Mavilla non si ferma. Il 27 marzo scrive perfino a Juliane Gallina, vicedirettrice della CIA per l’innovazione digitale . Mavilla l’avverte con un messaggio su LinkedIn: “Volevo farle sapere che le ho inviato una email che contiene un rapporto sensibile in merito alla possibile esposizione online di informazioni che riguardano Lei e alcuni suoi colleghi”. Anche la numero della 2 della Cia per l’innovazione digitale, come prevedibile, no gli risponderà mai. Ma c’è qualcuno che finalmente gli risponde.
Quello stesso 27 marzo, infatti, Mavilla viene finalmente contattato dalla Polizia postale. Gli agenti hanno preso sul serio le sue informazioni e vogliono approfondire la situazione.
[…]
