Studente di Relazioni Internazionali all'Alma Mater Studiorum di Bologna, fondatore e scrittore per il Prosperous Network dal 2016, nel tempo libero ascolto Jazz e divoro serie TV. Se dovessi scegliere una colonna sonora per la mia vita non avrei alcun dubbio: Folsom Prison Blues

Riepilogo degli eventi

Lo scorso 5 Febbraio sono stati trafugati dati sensibili dalla sede del Partito Democratico di Firenze ad opera di un gruppo di hacker denominato “AnonPlus“.

Nello specifico sono stati trafugati «2.653 file di informazioni personali tra cui nome e cognome, indirizzo e-mail, data di nascita, città di nascita e numero di telefono, linea fissa e cellulare» degli iscritti al PD fiorentino nell’anno 2015, inclusi quelli del segretario nazionale e allora premier Matteo Renzi.

L’attacco, avvenuto intorno alle ore 3:15 e rivendicato su twitter, dove è stato resa pubblico anche il documento semi-integrale, è stato riconosciuto dalla società di sicurezza informatica FireEye e dal PD come autentico.

La tecnica di intrusione utilizzata dal gruppo è SQL injection, usata frequentemente per attaccare applicativi web, con la quale vengono inserite stringhe di codice SQL malevole all’interno di campi di input in modo che queste ultime vengano poi eseguite (ad esempio per fare inviare il contenuto del database all’attaccante).

Giovedì 8 Febbraio AnonPlus ha inoltre violato il server ospitante la pagina web www.salvinipremier.it e l’account facebook di Matteo Salvini.

Oltre a pubblicare alcuni post troll come quelli in immagine, prontamente cancellati dal socialmedia manager team; il gruppo rilascia su twitter una sezione non filtrata del database relativa alla pagina web del sito, affermando di voler rendere pubblico l’intero database entro poche ore.

I file trafugati contengono dati sensibili di numerosi esponenti della Lega: sindaci, consiglieri comunali e segretari provinciali della Lombardia, ma anche di candidati alle elezioni europee del 2014, deputati al Parlamento Italiano, e persino di alcuni fedelissimi del Segretario del Carroccio.

www.salvinipremier.it non è l’unica pagina coinvolta dal leak, poiché il gruppo è riuscito ad estrapolare un flusso di dati di sistema corrispondente alle informazioni del database di tutti i siti contenuti dal server in questione, almeno altri 25 di cui alleghiamo la lista.

Secondo la nostra valutazione questa intrusione è molto probabilmente avvenuta sfruttando una Blind SQL Injection, usata quando un’applicazione web è vulnerabile ad SQLI ma i risultati dell’operazione non sono visibili all’attaccante, richiedendo così un notevole dispendio di tempo e un exploit manuale.

Verso le 13:00 di Venerdì 9 Febbraio gli account twitter @AnonPlus_Info e @Arm_Legi vengono sospesi, pochi secondi dopo la pubblicazione della seconda ed ultima tranche di dati (20GB), sulla quale non è possibile dare alcuna valutazione ancora.

Breve intervista ad AnonPlus

Ho cercato di mettermi in contatto con il gruppo di hacktivisti attraverso il canale chat indicato nel loro ormai bloccato account, e con mia sorpresa sono riuscito, nel giro di mezz’ora, ad attirare l’attenzione di uno dei membri online del gruppo, arm_legi, che mi ha chiesto di scrivergli in privato.


Ne ho approfittato per chiedere la loro posizione ideologica-politica, che è risultata essere anarchica:

<arm_legi> le nostre ideologie sono ANARCHIA , qualsiasi politico per noi è un nemico
<arm_legi> se noti abbiamo hackerato PD e poi Lega nord
<arm_legi> sono partiti differenti , ma per noi sono uguali
<zpnm> capisco
<zpnm> quindi qualsiasi partito dello spettro politico è a rischio di leak da parte del vostro gruppo?
<arm_legi> già !

E per chiedere la loro nazionalità, nonché il messaggio sotteso alle loro azioni:

<zpnm> Siete italiani? Volete dare un messaggio preciso con le vostre azioni considerato il momento (campagna elettorale) in cui agite?
<zpnm> Continuerete le vostre operazioni?
<arm_legi> mi dispiace ma non posso dire niente sulla nazionalità! il nostro messaggio è quello di distruggere il governo , il governo è il male !
<arm_legi> zpnm certo che continueremo !

E’ molto probabile non solo che il gruppo sia composto da membri di nazionalità diverse e che operi senza precise limitazioni ideologiche nazionali, date le precedenti operazioni reportate su twitter ai danni della Camera di Commercio Spagnola e alcuni dipartimenti sanitari in Catalogna, nonché un hack ad un sito cileno; ma che anche lo stesso arm_legi non sia italiano, date alcune quasi impercettibili inusualità di scrittura che ho notato durante la conversazione.

Prima di concludere questa breve chat, dettata da tempistiche strette, arm_legi, ha voluto precisare che ci sono account fake su twitter che si spacciano per AnonPlus indebitamente come @AnonPluss_Info @AnonPIus_Info, adesso che gli account “ufficiali” del gruppo sono stati sospesi dall’uccellino blu, ma soprattutto che AnonPlus non percepisce alcun finanziamento o remunerazione per queste attività:

<arm_legi> vorrei che scrivessi una cosa , perchè c’è gente che pensa che noi siamo pagati per fare tutto ciò , ma non è così!


Prosperous Network e gli autori si dissociano dalle idee e opinioni riportate dall’intervistato.
articolo di Matteo Manera, in collaborazione con Rudi Bertaccini ed Edoardo Debenedetti.