Foto di Ferenc Almasi.

Come riporta Cybernews, esiste un ClickHouse non protetto accessibile online senza alcuna autenticazione che contiene ed espone i dati sensibili di circa 150.000 abbonati al quotidiano Il Manifesto, oltre ai log relativi a 11 milioni di visitatori del sito. I dati non includono le credenziali di accesso agli account ma rivelano indirizzi email, token di sessione, indirizzi IP, dati di geolocalizzazione, informazioni sui dispositivi utilizzati e referrer - i link da cui gli utenti arrivano al sito. Secondo il rapporto stilato dai ricercatori, questi elementi permettono di ricostruire comportamenti di navigazione e inferire l'orientamento politico dei lettori, com'è ovvio nel caso di un sito schierato politicamente e pubblicamente come quello del Manifesto: è un caso che rientra nella "categoria speciale" di dati sensibili indicata dall'articolo 9 del GDPR.

Il database è rimasto esposto per settimane prima della scoperta, se non mesi. Non emergono dettagli su come ciò sia successo; gli analisti fanno notare che tali errori possono essere comuni in ambienti con risorse limitate come quelli di una società cooperativa editrice come Il Manifesto. La piattaforma digitale è disponibile su web, app Android e iOS e si basa su un paywall che limita l'accesso a tre articoli gratuiti settimanali, raccogliendo dati per personalizzazione e analisi interne. Tra i log esposti figurano anche metriche sulle prestazioni degli articoli, fonti di referral e statistiche demografiche potenzialmente utili per campagne di marketing o profiling illecito.

Le conseguenze immediate riguardano la vulnerabilità dei lettori: gli indirizzi email possono essere usati per phishing mirato o spam; gli IP e la geolocalizzazione facilitano attacchi come il doxxing. Cybernews ha segnalato il problema direttamente all'editore e al CERT-PA (Computer Emergency Response Team italiano); al momento della pubblicazione dell'articolo, il database risulta ancora accessibile. In assenza di una notifica formale al Garante per la Protezione dei Dati Personali entro 72 ore dal rilevamento - come previsto dal GDPR per i casi di data breach - l'editore rischia sanzioni fino al 4% del fatturato annuo globale.

Il contesto legale in Italia è regolato dal GDPR e dal Codice in materia di protezione dei dati personali. Esso impone al titolare del trattamento dei dati stessi - qui Il Manifesto - di valutare il rischio per i diritti e le libertà degli interessati. Se la violazione è considerata «ad alto rischio», scatta l'obbligo di comunicazione diretta agli utenti, con dettagli su natura della violazione, dati coinvolti e misure correttive. Casi analoghi, come quanto accaduto a ePrice nello scorso marzo con 6,8 milioni di dati esposti sul dark web, hanno portato a indagini del Garante e multe, sottolineando la necessità di audit regolari dei sistemi.

Proposte di lettura:

Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non...

Sentenza USA sul monopolio di Google: l'azienda non sarà spezzettata, m...

Privacy a rischio su Chrome: l'estensione FreeVPN One raccoglie dati sensibi...

PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark...

Per i lettori Il Manifesto consiglia di monitorare gli account email per rilevare eventuali attività sospette e di cambiare password se questa è usata altrove, anche se non c'è stata alcuna diffusione delle password.

Non perderti anche:

Attenzione al falso SMS dell'ASL: è una truffa che ruba dati e denaro

Il ransomware che ti cancella tutti i dati per sempre - se non paghi subito

Allarme privacy: decine di app VPN inviano dati in Cina. Tutte su store ufficial...

Il DNS europeo che promette di tutelare i dati personali