Sapienza sotto attacco hacker: 400 server dell’Università ko e prima diffusione di dati sensibili nel dark web
Roma, oltre 400 server messi fuori uso, servizi amministrativi paralizzati e dati personali di centinaia di migliaia di persone — docenti, studenti ed ex studenti — criptati. E, secondo le prime verifiche, potenzialmente già resi pubblici sul dark web. L’incidente informatico che ha colpito l’Università La Sapienza non è più soltanto un guasto tecnico. Ma di più. È un data breach con implicazioni concrete su privacy, continuità operativa e reputazione. A rendere la situazione più delicata è l’emersione di “sample” di dati circolati nel dark web, in una logica di pressione tipica dei ransomware moderni.
Il piano di ripartenza: bonifica, backup e ritorno graduale dei servizi
La priorità immediata dell’ateneo è rimettere in moto la macchina. L’università ha comunicato che “in questi giorni è stata bonificata l’infrastruttura informatica” e che i tecnici di Infosapienza stanno lavorando sull’estrazione dei dati dai sistemi di backup. Preparando un ripristino progressivo dei servizi interrotti. Il rientro online sarà graduale: nei prossimi giorni dovrebbero tornare operativi i primi servizi. Ma la ripartenza, in casi come questo, non coincide automaticamente con la messa in sicurezza: il nodo resta capire quali dati siano stati copiati all’esterno e in quale misura.
Il fronte investigativo: Polizia Postale e Agenzia per la cybersicurezza nazionale
Sul caso stanno operando gli specialisti della Polizia Postale, in coordinamento con l’Agenzia per la cybersicurezza nazionale, che hanno già fatto un punto con i tecnici dell’università. L’attenzione si concentra su due piani: ricostruire la catena dell’intrusione (quando e come gli attaccanti siano entrati) e valutare l’impatto sul patrimonio informativo. Il rischio, infatti, non riguarda solo l’indisponibilità dei sistemi, ma anche l’eventuale divulgazione successiva dei dati. In questo scenario, tempi e qualità delle verifiche forensi diventano determinanti.
Come si è arrivati al blocco: un’intrusione lunga e un’infrastruttura vulnerabile
Secondo le informazioni emerse, gli hacker potrebbero essersi introdotti nei sistemi almeno un mese fa, sfruttando falle compatibili con un’infrastruttura descritta come debole e obsoleta. Il blocco totale è scattato domenica pomeriggio con l’arrivo di un file “readme.txt” contenente istruzioni per la decrittazione. La firma utilizzata, “Femwar02”, risulta al momento sconosciuta. Il messaggio rimanda a un link nel dark web (accessibile via Tor) che porta alla richiesta di un riscatto stimato in almeno un milione di euro in bitcoin.
BabLock e la pressione “silenziosa”: perché i dati non sono (ancora) in vendita
L’attacco sarebbe stato condotto tramite il ransomware BabLock, descritto per una caratteristica specifica: non cripta i sistemi impostati in russo o in altre lingue post-sovietiche, elemento che alimenta l’ipotesi di una provenienza dall’area. Per ora non risultano dataset completi in vendita nel dark web, ma sarebbero stati intercettati “sample” diffusi a scopo ricattatorio. È una strategia mirata: mostrare prove selettive per spingere a una trattativa senza innescare subito una grande esposizione mediatica. Il problema è che, una volta aperta la porta all’esfiltrazione, nessuno può garantire come e quando quei dati verranno usati.
Il precedente internazionale: quando non si paga e i dati vengono pubblicati
Il rischio di una pubblicazione integrale non è teorico, e alcuni precedenti lo ricordano con chiarezza. Il caso citato come emblematico riguarda Harvard University e University of Pennsylvania: lo scorso autunno entrambe sarebbero state prese di mira e, secondo quanto riportato, il gruppo ShinyHunters avrebbe poi diffuso nel dark web oltre un milione di cartelle dopo il mancato pagamento del riscatto. È lo schema “double extortion”: cifratura per bloccare, esfiltrazione per minacciare, pubblicazione per punire e monetizzare.
Cosa aspettarsi adesso: verifiche sui dati e comunicazioni agli interessati
Le prossime ore saranno decisive su due questioni: la completezza e integrità dei backup (condizione necessaria per un ripristino senza sorprese) e la valutazione dell’eventuale esfiltrazione. Prima di qualsiasi scelta, l’ateneo punta a capire se il recupero possa avvenire integralmente dai backup e se questi siano davvero completi. Nel frattempo, chi rientra nella platea potenzialmente esposta — studenti, ex studenti, docenti — dovrà seguire con attenzione le comunicazioni ufficiali: nei data breach la trasparenza è parte della risposta, tanto quanto la ripartenza dei sistemi.