Bucato il sito del Ministero per la Pubblica Amministrazione e l’Innovazione

Lo scorso 17 Dicembre 2011 il Cracker Thorwed ha diffuso tramite Twitter la notizia che è riuscito ad accedere al Database del sito qualitapa.gov.it  del Ministero per la Pubblica Amministrazione e l’Innovazione tramite una falla di tipo SQL Injection. Lo stesso utente ha poi diffuso su Pastebin le informazioni estratte dal database dal quale si possono visualizzare username, password e eMail di circa 9000 utenti registrati al sito.

In data odierna gli amministratori del sito internet ci fanno sapere che hanno comunicato a tutti gli utenti coinvolti nel misfatto tramite eMail l’accaduto invitandoli a cambiare in tempi brevissimi le password associate all’username. Di seguito vi riportiamo l’email integrale:

Salve,
sta ricevendo questa email perche’ le password associate alla sua utenza del sito http://qualitapa.gov.it sono state compromesse e pubblicate su internet, con annessa visibilita’ mediatica pubblica dell’evento.

– Sintesi dell’accaduto (lingua italiana)
http://www.matteocavallini.com/2011/12/bucato-un-sito-del-ministero.html

– Pubblicazione di 9000 password del ministero (inglese):
http://www.cyberwarnews.info/2011/12/18/9000-accounts-leaked-from-italian-minister-for-public-administration-and-innovation/

– Elenco delle password pubblicate
http://pastebin.com/raw.php?i=wVSq1Ujb

Questo messaggio vuole avvisarvi di CAMBIARE LE PASSWORD dei vostri acccount USERNAME e EMAIL.

Spesso si utilizza la stessa password fra piu’ sistemi informativi, per cui se la password da lei usata su qualitapa.gov.it consente l’accesso ad altri sistemi informativi (come l’email o il gestionale aziendale), dovete subito CAMBIARE LE VOSTRE PASSWORD.

Suggeriamo vivamente di CAMBIARE LA PASSWORD relativa alla vostra utenza su:
– Sito web http://qualitapa.gov.it (quando fosse nuovamente disponibile)
– Sistema di Accesso Email della propria agenzia pubblica o personale
– Sistemi informativi accessibili da internet con la vostra utenza

Questo messaggio e’ stato inviato in modo indipendente da qualunque coordinamento o collegamento con autorita’ o enti di vigilanza, esclusivamente come iniziativa civica d’urgenza, considerati i rischi potenziali legati a questa perdita di dati e ad altre che potrebbero accadere senza un celere cambio di password.

Vi ricordiamo di attenervi esclusivamente alle comunicazioni ufficiali degli uffici preposti, questo messaggio inviato d’urgenza e’ solo di carattere informativo al fine di consentire una piu’ celere risposta all’incidente informatico, invitando a un cambiamento di password delle proprie utenze accessibili da internet.

Lunedi’ mattina cambiata la vostra password e contattate il vostro referente per la Sicurezza informatica o per i sistemi informativi.

Cordiali Saluti

Fonte | Matteo Cavallini