Maxi data breach per un database del Parlamento europeo: informazioni relative a migliaia di dipendenti e membri dell’Europarlamento sono state esposte in quella che Marcel Kolaja, vice president for IT policy del Parlamento europeo, ha definito sulla testata online Politico una “grave violazione dei dati“.
I dati includono 1.200 account di deputati e funzionari dell’Europarlamento, più altri 15.000 account di professionisti che lavorano per le istituzioni Ue, ha rivelato Kolaja. Le informazioni esposte includono dati sensibili e password crittografate.
Le informazioni sono state sottratte da un sistema che era stato gestito sotto il dominio ufficiale “europarl.eu” del Parlamento europeo, ma i dati erano conservati presso terzi. “Il sistema in questione è gestito da un particolare gruppo politico con dati riferiti a quel gruppo politico”, ha detto Kolaja. “I rappresentanti del partito sono stati immediatamente informati del cyber-incidente”. Politico afferma che si tratta del Partito popolare europeo (Ppe).
Esposto un database del Ppe
Il portavoce del Ppe Pedro López de Pablo ha confermato l’esposizione di un database contenente indirizzi e-mail e password, ma ha evidenziato che si tratta di un database obsoleto che conteneva solo informazioni “utilizzate dalle persone iscritte al nostro vecchio sito web nel 2018”. Quel sito web non è più in uso dopo che il gruppo ha lanciato un nuovo sito nel gennaio 2019, ha affermato López de Pablo.
Sia i “server del Ppe che l’attuale database non sono stati esposti”, ha affermato il portavoce. “Anche nel caso in cui le persone che si erano registrate al nostro sito web nel 2018 usassero la stessa password che avevano in quel momento nelle loro e-mail, non può succedere nulla adesso perché in Parlamento il sistema ti costringe a cambiare password ogni tre mesi “, ha aggiunto López de Pablo.
I dati erano online “da tempo”
Non è della stessa opinione Yash Kadakia, fondatore della società indiana di cybersecurity Shadowmap che per prima ha portato alla luce la violazione. La società ha trovato i dati mentre scandagliava Internet alla ricerca di dataset non protetti, un’attività che fa parte dei suoi servizi di sicurezza. Kadakia ha riferito di aver scoperto file contenenti password, descrizioni di posti di lavoro e altre informazioni personali tramite un portale Internet che fa parte del dominio del Parlamento ed è utilizzato dai suoi funzionari.
I dati non protetti includono anche informazioni di migliaia di persone con collegamenti a partiti e istituzioni politiche, inclusi membri di agenzie e autorità dell’Ue come l’Europol, Frontex, il Garante privacy Edps (European data protection supervisor), utenti della Commissione europea e altri ancora.
Kadakia ha immediatamente segnalato la violazione al Cert (Computer emergency response team) del Parlamento. “Il rischio è che i dati esposti siano usati dagli hacker per accedere ad altri siti web e servizi sensibili”, ha affermato il top manager, sottolineando che i dati “sono online da qualche tempo”.
Aperta un’indagine
Kolaja, che è anche un ingegnere informatico, ha definito la violazione “seria”; sebbene le password trapelate siano state crittografate utilizzando la tecnica di “hashing”, il che significa che i criminali non possono usarle immediatamente per accedere ad altre informazioni, “con un’ulteriore crittoanalisi dei dati, le informazioni potrebbero essere sicuramente oggetto di abusi”, ha aggiunto Kolaja.
“Stiamo parlando di una enorme quantità di dati”, ha concluso l’eurodeputato; “è certamente un incidente su cui occorre indagare per verificare ogni possibile violazione della legge”.
