I ricercatori di Cybernews hanno scoperto un database non protetto che contiene circa 150.000 indirizzi email degli abbonati a Il Manifesto, storico quotidiano italiano fondato nel 1971. Il leak riguarda anche i normali visitatori, in quanto sono stati divulgati alcuni dati relativi alla navigazione sul sito. Al momento non ci sono comunicati ufficiali da parte dell’editore.
Database ClickHouse non protetto
Il Manifesto era in origine (1969-1971) una rivista a tiratura mensile che rappresentava l’area più “estrema” del Partito Comunista Italiano (PCI). Nel 1971 è stato trasformato in un quotidiano da cinque dissidenti espulsi dal PCI nel 1969. Oggi viene pubblicato da una società cooperativa ed è disponibile anche in formato digitale (web, Android e iOS). Per accedere a tutti gli articoli è necessario sottoscrivere un abbonamento (a partire da 3,99 euro/settimana).
I ricercatori di Cybernews hanno trovato un database ClickHouse non protetto che contiene gli indirizzi email di circa 150.000 abbonati e i log associati a circa 11 milioni di visitatori. In dettaglio ci sono informazioni sul dispositivo usato dagli utenti, token di sessione, indirizzi email, indirizzi IP, dati di geolocalizzazione e referrer (link dai quali i visitatori hanno raggiunto il sito).
Il data leak ha inoltre rivelato analitiche interne, informazioni sulle performance degli articoli, sul comportamento del pubblico e sulle fonti di referral. Nel database non ci sono le credenziali degli account. I dati divulgati online possono essere utilizzati per varie attività illecite.
Essendo Il Manifesto un quotidiano di sinistra è possibile scoprire l’orientamento politico dei lettori. Queste informazioni appartengono alla “categoria speciale”, secondo l’art. 9 del GDPR (Regolamento generale sulla protezione dei dati) e quindi sono soggette a maggiori protezioni.
Nonostante la segnalazione al quotidiano e al CERT italiano, il database è ancora accessibile senza protezione. In caso di violazione della privacy, il titolare del trattamento deve inviare una notifica al Garante entro 72 ore.
