Il collettivo di hacker Anonymous rivendica di aver violato la intranet dell’ospedale San Raffaele di Milano, pubblicando online quelle che definisce le prove dell’incursione, ossia file contenenti nomi, dati, email e password di impiegati, medici ma anche pazienti. L’hacking sarebbe avvenuto gia’ da qualche settimana, ma gli attivisti informatici avrebbero deciso di rendere pubblico il data breach solo ora, dopo il lockdown. Sul profilo Twitter degli hacker, era stato annunciato: “Vogliamo fare un gioco con te San Raffaele di Milano, entro fine giornata rilasceremo tutti i dati, in clear (in chiaro). A meno che… non ci comunichiate qualcosa di concreto”. Gli hacker infatti dicono di aver avvertito i tecnici dell’ospedale di alcune vulnerabilita’ dell’infrastruttura informatica, falle che avrebbero messo a rischio i dati personali dei pazienti e dei dipendenti. Ma, secondo quanto denunciano, nulla e’ stato fatto.
Decine di migliaia i nominativi e i dati presenti sui file pubblicati su Pastebin. Tra questi si leggono anche quelli dell’immunologo Roberto Burioni, di manager, dottori, ma anche di pazienti. “San Raffaele, avete comunicato al Garante il #databreach di due mesi fa? Visto che avete gia’ chiuso tutte le vulnerabilita’.. anche se troppo tardi?”, così il collettivo di hacker chiede alla struttura se abbia notificato l’intrusione al Garante della privacy, come previsto dalla normativa europea in materia di protezione dei dati. “Loro hanno gia’ chiuso la falla due mesi fa, vogliamo capire – spiegano in un altro tweet, allegando screenshot di dati – se e’ stato comunicato al garante il databreach, in caso non fosse stata fatta questa comunicazione.. beh grave”. “I dati presi sono di Marzo, la falla – si legge ancora -. chiusa ad Aprile, ma da Aprile ad oggi non hanno comunicato a nessuno di cambiare le password, quindi sono tutt’ora accessibili”.
Contattato dall’AGI, l’ospedale milanese conferma il tentativo di intrusione ma nega qualsiasi “accesso a dato sensibile”, definendo “inattendibili” le informazioni messe online. L’ospedale spiega in una nota spiega: “La situazione a cui si fa riferimento, riportata da fonte non attendibile, si riferisce a un tentativo di intrusione avvenuto mesi fa che non ha comportato l’accesso ad alcun dato sensibile. I nominativi di molti operatori sono pubblici per ragioni di servizio e le informazioni pubblicate sono relative a un’applicazione dedicata alla formazione online dismessa da anni con utenze e password di accesso altrettanto obsolete e dismesse”. “La direzione dell’Ospedale – si chiude la nota – e’ gia’ in contatto con gli organi competenti per fornire ogni utile chiarimento”.
