Su un blog riconducibile ad Anonymous è apparso un post intitolato Summum ius, summa iniuria nel cui testo, riprodotto a fianco, ci sono i link per scaricare i dump dei database di alcuni siti collegati alle forze dell’ordine o alla Giustizia.
Ho dato un’occhiata veloce ai file prima di distruggerli e il risultato è a dir poco sconsolante: ancora una volta ci troviamo davanti ad una leggerezza nella gestione dei dati che non dovrebbe esistere in certi settori, specie quelli incaricati di far rispettare la Legge.
Le password sono tutte in chiaro oppure codificate in MD5 senza salt. In un paio di database nel campo password c’è l’hash MD5, uno spazio e poi la password in chiaro tra parentesi.
In più di un esempio la tabella degli amministratori ha le password in chiaro e quella degli utenti ha le password in MD5.
Molte password in MD5 sono uguali al nome dell’utente oppure banali (ovvero se vengono trascritte in un motore di ricerca appare la pagina con l’equivalente in chiaro).
Due database di utenti rivelano evidenti segni di tentativi hackeraggio pregresso.
Tra le password in chiaro in un sito legato alla Polizia da segnalare numeri nel formato ggmmaaaa, nomi di città, nomi di persone e parole come passamontagna, meccaemedina, 69cazzo69, Password, 123, polizia, Soloio. In questo stesso database il campo password contiene stringhe che denotato un tentativo di hackeraggio.
Le coppie utente/password sono però il male minore di questo insieme di dati: altre tabelle contengono nomi, email, indirizzi e numeri di telefono di forze dell’ordine, avvocati e altro personale del settore.
Le leggi sulla tutela dei dati personali (dette anche “leggi sulla privacy”) dovrebbero, appunto, servire a tutelare i dati personali da questo tipo di intrusioni, non ad obbligare i cittadini e le aziende private a firmare e conservare tonnellate di carta inutile.
La leggerezza con cui sono stati gestiti questi dati rende l’azione di hacking un reato forse di minore importanza perché qui sono stati trattati in maniera impropria (dirà un giudice se oltre che impropria è anche illegale) i dati di persone fisiche.
Lascia un commento