Hackerato il sistema di Vittoria Assicurazioni: ecco chi è stato e perché lo ha fatto

Azione "dimostrativa" da parte di ethical hacker. I clienti della compagnia non sono coinvolti

Hacker (Ansa)

Hacker (Ansa)

Milano, 2 agosto 2022 - Vittoria Assicurazioni è stata protagonista di un hackeraggio dimostrativo messo a segno da Websiteplanet, una società che fornisce servizi di digital marketing, realizzazione siti web, ma ha anche un team di ethical hacker che si occupa di verificare lo stato di salute delle applicazioni web.

Del caso si sta occupando la polizia postale, compartimento di Milano, anche se i primi accertamenti escludono che siano stati sottratti dati. In un post sul loro sito, Websiteplanet pubblica i risultati della sua incursione: due dei bucket (i contenitori di file) del cloud di Amazon AWS dell'azienda sono stati configurati in modo errato, senza alcuna protezione tramite password o controlli di crittografia.

Gli hacker hanno così potuto accedere a set di dati quasi identici, "ciascuno dei quali esponeva oltre 970.000 file, per un totale di circa 280 GB di dati", con dettagli come e-mail, certificazioni e numeri di previdenza sociale. "In base al numero di e-mail e certificazioni, sono potenzialmente interessate da 30.000 a 800.000 persone", scrive Websiteplanet nel suo resoconto.

La comunicazione di Vittoria Assicurazioni

L'azienda ha fatto sapere che gli hacker sono riusciti "ad accedere a due spazi cloud di un fornitore TFA (two factor authenticator) utilizzati per conto di Vittoria Assicurazioni per la gestione della migrazione del database del portale della formazione della compagnia". "Una volta appurata l'apertura di tali spazi i membri del reparto IT della Compagnia hanno provveduto all'immediata chiusura delle porte di propria competenza, come anche il fornitore". Nei bucket, conclude la nota, "erano contenuti dati anagrafici solo del personale interno (dipendenti, consulenti, agenti e subagenti della Compagnia) che ha partecipato ai corsi di formazione promossi da Vittoria Assicurazioni (nome, cognome e codice fiscale), dati di contatto (indirizzi mail), certificati di partecipazione ai corsi, immagini dei partecipanti e credenziali per il primo accesso al portale". 

è arrivato su WhatsApp

Per ricevere le notizie selezionate dalla redazione in modo semplice e sicuro