Un paio di giorni fa Anonymous si è divertita con la biglietteria on-line di Expo (rastrellando nominativi, mail e indirizzi di chi ha acquistato biglietti online). Il 16 maggio l’account di Anonymous Italy pubblica un tweet con allegata l’immagine dei dati di alcuni acquirenti. Per ora Anonymous ha reso pubblico solo uno dei fogli del database, mostrando la debolezza delle misure di sicurezza.
Il bersaglio dell’operazione è Best Union, azienda bolognese che si è aggiudicata l’appalto per il servizio di biglietteria e una parte per i tornelli. L’assegnazione a Best Union ha fatto poco rumore ma è stata oggetto di una inchiesta di ExpoLeaks in seguito a una segnalazione di un whistleblower, che ha rilevato come la procedura di appalto non abbia mai visto veri concorrenti oltre a Best Union. “Di fatto – riporta l’inchiesta -, l’assegnazione del servizio di ticketing non è passato attraverso una vera gara pubblica, ma è stato incluso all’interno di quello di “banking” (che comprende tutti i servizi finanziari e di credito legati all’evento) e assegnato a un’azienda che però non è mai entrata in nessuna trattativa con Expo Spa: si tratta della Best Union Company (BU), società bolognese che ha ottenuto il servizio per la biglietteria grazie ad una partnership con Intesa San Paolo, la grande banca diventata sponsor ufficiale dell’esposizione universale”.
I legami con la solita Comunione e Liberazione hanno fatto il resto. Fatto sta che al momento l’attacco di Anonymous sembra essere andato a segno, e ora per Best Union e la stessa società Expo si propone un problema di sicurezza informatica non di poco conto, anche perché se gli acquirenti dei ticket finiti nel leak dovessero procedere a una class action vista la probabile diffusione di dati e violazione della privacy potrebbero avere la carta per portare a casa risarcimenti importanti. Anche perché, in seconda battuta ma non meno importante, nel database compaiono in chiaro anche le password degli utenti che hanno acquistato biglietti on-line.
Best Union fa sapere a Linkiesta che Anonymous si è impossessata di circa 1 terabyte di dati, non esclusivamente riconducibili alla biglietteria Expo, di cui potrebbe essere stata sottratta una piccola parte. «Ora ci vorranno alcuni giorni – spiega un portavoce di Best Union – per capire cosa abbiano preso dai database, e sapendo come si muove Anonymous non abbiamo motivo di dubitare che stiano comunque dicendo il vero sul fatto di aver bucato i sistemi».
Dunque al momento la società Expo2015 Spa non sembra configurarsi come grande responsaibile, tuttavia è interessante osservare come il sito del Padiglione Italia, a oltre 15 giorni dalla prima violazione da parte di Anymous nella giornata dell’inaugurazione risponda ancora a un link di questo tipo http://www.padiglioneitaliaexpo2015.com/it/news_eventi/Anonymous-HACK-Padiglione-ITALIA-Expo-Milano-2015. Sarebbe forse il caso di dare un’occhiata al codice…
P.s.: anche la gestione del sito di Padiglione Italia non ricade completamente sotto la responsabilità della società Expo Spa: la registrazione del dominio è a nome della responsabile del padiglione Diana Bracco tramite la Bracco Spa, multinazionale del farmaco e gestito dalla Bracco Imaging Spa.