Un vento di panico ha soffiato sui media e sui social network a causa del presunto attacco informatico alla Cassa per gli assegni familiari (CAF). Tuttavia, il vero obiettivo era una piattaforma del Ministero dello Sport, della Gioventù e della Vita associativa. Ritorno su una confusione che ha preso una portata inaspettata.
Le 3 informazioni da non perdere
- La CAF non è stata hackerata; è una piattaforma collegata al Ministero dello Sport che è stata vittima di un attacco informatico.
- Il gruppo di hacker Dumpsec è all’origine dell’attacco, avendo sottratto 22 milioni di registrazioni.
- Il Ministero dello Sport ha confermato l’intrusione e ha annunciato misure per contenere i danni.
Una confusione mediatica intorno alla CAF
Per più di ventiquattro ore, l’informazione secondo cui la CAF era stata hackerata ha circolato senza interruzione. Questa voce è stata alimentata da un cybercriminale francese che ha affermato di essere all’origine di questa impresa. Tuttavia, si trattava in realtà di una manipolazione. Il vero obiettivo era una piattaforma del Ministero dello Sport, associations.gouv.fr, dedicata alle associazioni.
Clément Domingo, noto anche come SaxX, un hacker etico, ha espresso fin dall’inizio il suo scetticismo nei confronti di questo presunto attacco contro la CAF. Oggi è confermato che la CAF non è mai stata colpita da questo attacco informatico.
Il vero attacco: una piattaforma del Ministero dello Sport
Il gruppo di hacker Dumpsec ha orchestrato l’attacco sulla piattaforma associations.gouv.fr il 3 novembre 2025. Fingendosi un’associazione legittima, hanno sfruttato una falla di sicurezza per estrarre 22 milioni di registrazioni in una sola notte. Questo gruppo, già noto per le sue operazioni simili, ha persino pubblicato dettagli sul loro metodo, illustrando così un senso di impunità.
La rivelazione di questi fatti avviene sei settimane dopo l’attacco iniziale, a causa di una disputa tra Dumpsec e un millantatore che si era attribuito erroneamente la responsabilità dell’attacco, minacciando così il loro “business”. Dumpsec ha quindi deciso di diffondere prove per rivendicare la loro azione.
Reazione del Ministero dello Sport e impatto sui cittadini
Il Ministero dello Sport ha ufficialmente riconosciuto l’intrusione il 19 dicembre e ha precisato che il Pass Sport era effettivamente l’obiettivo dei cybercriminali. Un comunicato diffuso da BFMTV menziona una “esfiltrazione di dati” e l’implementazione di misure per attenuare le conseguenze dell’attacco. Una denuncia sarà presentata e la CNIL sarà informata entro 72 ore.
Circa 3,5 milioni di famiglie sono interessate da questa massiccia fuga di dati. Il ministero si impegna a informare rapidamente le persone colpite e a fornire loro “raccomandazioni di sicurezza”. Nel frattempo, Dumpsec ha già rivelato la sua intenzione di monetizzare i dati rubati, sottolineando una nuova falla nella sicurezza dei servizi pubblici digitali.
Il gruppo Dumpsec: un attore noto degli attacchi informatici
Dumpsec è un gruppo di hacker noto, abituato a questo tipo di operazioni. La loro esperienza in materia di criminalità informatica si è già manifestata in diverse occasioni, con attacchi mirati a varie istituzioni. Questo ultimo attacco su una piattaforma governativa illustra la loro capacità di sfruttare falle di sicurezza con un’efficacia spietata.
Il metodo di Dumpsec si basa spesso sulla dissimulazione e sull’usurpazione di identità, fingendosi entità legittime. La loro trasparenza riguardo ai loro procedimenti testimonia la loro fiducia in un sistema che percepiscono come vulnerabile e incapace di perseguirli efficacemente.
