Online i dati degli abbonati a Il Manifesto

I ricercatori di Cybernews hanno scoperto un database non protetto che contiene circa 150.000 indirizzi email degli abbonati a Il Manifesto, storico quotidiano italiano fondato nel 1971. Il leak riguarda anche i normali visitatori, in quanto sono stati divulgati alcuni dati relativi alla navigazione sul sito. Al momento non ci sono comunicati ufficiali da parte dell’editore, a cui abbiamo scritto per un chiarimento.

Un database ClickHouse non protetto

Il Manifesto era in origine (1969-1971) una rivista a tiratura mensile che rappresentava l’area più “estrema” del Partito Comunista Italiano (PCI). Nel 1971 è stato trasformato in un quotidiano da cinque dissidenti espulsi dal PCI nel 1969. Oggi viene pubblicato da una società cooperativa ed è disponibile anche in formato digitale (web, Android e iOS). Per accedere a tutti gli articoli è necessario sottoscrivere un abbonamento (a partire da 3,99 euro/settimana).

I ricercatori di Cybernews hanno trovato un database ClickHouse non protetto che contiene gli indirizzi email di circa 150.000 abbonati e i log associati a circa 11 milioni di visitatori. In dettaglio ci sono informazioni sul dispositivo usato dagli utenti, i token di sessione, gli indirizzi email, quelli IP, i dati di geolocalizzazione e i referrer (link dai quali i visitatori hanno raggiunto il sito).

I potenziali rischi per i lettori

Il data leak ha inoltre rivelato analitiche interne, informazioni sulle performance degli articoli, sul comportamento del pubblico e sulle fonti di referral. Nell’archivio non ci sono le credenziali degli account. I dati divulgati online possono comunque essere utilizzati per varie attività illecite.

Essendo Il Manifesto un quotidiano di sinistra, sarebbe possibile scoprire l’orientamento politico dei lettori. Queste informazioni appartengono alla “categoria speciale”, secondo l’art. 9 del GDPR (Regolamento generale sulla protezione dei dati) e quindi sono soggette a maggiori protezioni.

Nonostante la segnalazione al quotidiano e al CERT italiano, il database è ancora accessibile senza protezione. In caso di violazione della privacy, il titolare del trattamento deve inviare una notifica al Garante entro 72 ore.