Informazioni relative a migliaia di dipendenti e membri dell’Europarlamento sono state esposte a causa di un data breach.
I dati si riferiscono a 1.200 account di deputati e funzionari dell’Europarlamento, più altri 15.000 account di professionisti che lavorano per le istituzioni Ue, ha rivelato Kolaja, vice president for IT policy del Parlamento europeo.
Le informazioni, che includono dati sensibili e password crittografate, sono state sottratte da un sistema che era stato gestito sotto il dominio ufficiale “europarl.eu” del Parlamento europeo, ma i dati erano conservati presso terzi.
“Il sistema in questione è gestito da un particolare gruppo politico con dati riferiti a quel gruppo politico”, ha detto Kolaja. “I rappresentanti del partito sono stati immediatamente informati del cyber-incidente”. L a testata online Politico rivela che si tratta del Partito popolare europeo (Ppe).
La scoperta della violazione è avvenuta ad opera di Shadowmap, società di sicurezza indiana che scandaglia il web in cerca di dataset esposti. Yash Kadakia, fondatore della società, ha riferito di aver scoperto file contenenti password, descrizioni di posti di lavoro e altre informazioni personali tramite un portale Internet che fa parte del dominio del Parlamento ed è utilizzato dai suoi funzionari. I dati non protetti includono anche informazioni di migliaia di persone con collegamenti a partiti e istituzioni politiche, inclusi membri di agenzie e autorità dell’Ue come l’Europol, Frontex, il Garante privacy EDPS (European Data Protection Supervisor), utenti della Commissione europea e altri ancora.
Kadakia ha immediatamente segnalato la violazione al Cert del Parlamento. “Il rischio è che i dati esposti siano usati dagli hacker per accedere ad altri siti web e servizi sensibili”, ha affermato il top manager, sottolineando che i dati “sono online da qualche tempo”.
Il portavoce del PPE Pedro López de Pablo ha confermato il breach, ma ha anche fatto sapere che quel database contiene informazioni obsolete, utilizzate da persone iscritte al loro vecchio sito web nel 2018, ma sostituito con uno nuovo a partire dal Gennaio 2019. De Pablo ha anche escluso che il breach delle password sia un problema effettivo, perché il nuovo sistema obbliga al cambio password ogni tre mesi.
Marcel Kolaja, ha specificato anche che è vero che le password sono in forma di hash (quindi non in chiaro), ma “con un’ulteriore crittoanalisi dei dati, le informazioni potrebbero essere sicuramente oggetto di abusi. Stiamo parlando di una enorme quantità di dati. E’ certamente un incidente su cui occorre indagare per verificare ogni possibile violazione della legge”.
E’ già stata annunciata l’apertura di una inchiesta.
