Cronaca

Università di Pisa e il caso dell’attacco informatico. L’ateneo: “I dati pubblicati sono di natura ordinaria”

“La questione è stata ingigantita e amplificata oltre quello che è. Abbiamo avuto un’intromissione abbastanza contenuta dato che il down dei nostri servizi è stato di circa un’ora, un’ora e mezzo” spiega il professor Antonio Cisternino, presidente del Sistema informatico di ateneo

A più di un mese dall’attacco hacker all’Università di Pisa, il gruppo BlackCat/ALPHV, lo scorso 14 luglio, ha pubblicato nel dark web tutti i dati hackerati in modo strutturato e organizzato, come spiegato dal sito web Red Hot Cyber che ha seguito la vicenda. Oltre ai 700MB già resi pubblici, su 54GB di materiale, adesso sono diventati accessibili anche il resto dei file, con una stima di 10mila persone, tra lavoratori e studenti, dell’Università coinvolte.

Tra le informazioni pubblicate risulterebbero molti dati sensibili: account ID con password, numero di telefono, indirizzo di domicilio, residenza, codice fiscale insieme a nomi, cognomi, indirizzo mail, data e luogo di nascita e così via. Si ipotizza che il gruppo-hacker vorrà chiedere un altro riscatto, come aveva già provato a fare nel mese di giugno. Esattamente il giorno successivo, lo scorso 15 luglio, sempre la redazione di Red Hot Cyber ha diffuso la notizia che i dati rubati dell’Università di Pisa fossero al momento accessibili da Internet Pubblico, nel clear web. Nel frattempo, Red Hot Cyber ha rimosso tutti gli articoli riguardanti l’Università di Pisa e l’attacco informatico: “Dopo aver ricevuto una diffida dall’Università, abbiamo oscurato momentaneamente gli articoli per comprendere con i nostri legali come procedere” dichiara la redazione di Red Hot Cyber a Il Fatto Quotidiano.it.

In attesa di un comunicato ufficiale da parte dell’ateneo toscano o di una mail dal Rettore Mancarella, dopo l’ultima del 24 giugno scorso, sono i sindacati studenteschi come Sinistra Per ad avvisare e tranquillizzare la componente studentesca attraverso i canali social e gruppi Telegram. Il professor Antonio Cisternino, presidente del Sistema informatico di ateneo, conferma la veridicità della notizia sulla diffusione dei dati nel clear web e spiega a Il FattoQuotidiano.it: “I dati pubblicati sono di natura ordinaria e sì anche qualche documento d’identità ma noi abbiamo già agito per informare gli interessati, per tutelarli” e aggiunge: “C’è stato molto clamore ed è stato anche alimentato da questo sito (Red Hot Cyber) che è stato eccessivo rispetto all’effetto che è sotto gli occhi di tutti: i servizi sono rimasti online e noi abbiamo operato costantemente. Ci abbiamo messo un po’ a rispondere, in modo coscienzioso, abbiamo prima tentato di capire il vero perimetro dell’attacco”.

A confermare il fatto che gli studenti interessati siano stati informati è anche Nicola Maggi per l’Ufficio Stampa del Rettore: “Sono stati privatamente e singolarmente informati, comunicandogli anche quali erano i dati esposti” afferma a Il FattoQuotidiano.it. Rimangono, però, pubbliche nei canali social alcune segnalazioni di studenti che dicono di ricevere mail ambigue, anche nelle caselle di posta personali, senza aver ricevuto nessuna comunicazione dall’università, anche se potrebbe trattarsi di un comune spam che non ha a che fare con questa storia. In aggiunta, anche dalla rappresentanza studentesca risulterebbe impossibile che l’ateneo abbia avvisato gli studenti interessati dato che l’Università non saprebbe con certezza chi è stato hackerato ma le indagini da parte della Polizia Postale sono ancora in corso. “Mi dispiace ma su questo non so risponderle” è una risposta ottenuta dalla segreteria di un dipartimento dell’ateneo pisano alla richiesta di sapere a chi possono rivolgersi gli studenti per segnalare la presenza di mail-spam nella propria casella di posta. Nelle ultime settimane, la testata locale Il Tirreno ha diffuso la notizia di un’istruttoria del Garante della Privacy verso l’Università di Pisa che, se fossero riscontrate delle responsabilità, potrebbe rischiare delle sanzioni: “L’Università di Pisa ha provveduto a notificare la violazione dei dati personali al Garante, come previsto dall’art.33 del GDPR.” afferma a Il Fatto Quotidiano.it l’ufficio stampa del GDPR. Il professor Cisternino, infatti, ripete che si tratterebbe di un attacco ridotto e che la situazione è stata controllata: “La questione è stata ingigantita e amplificata oltre quello che è. Abbiamo avuto un’intromissione abbastanza contenuta dato che il down dei nostri servizi è stato di circa un’ora, un’ora e mezzo.”