Murex Software sotto attacco: esfiltrati dati sanitari da due backend italiani

Un threat actor rivendica l’accesso non autorizzato ai sistemi di Murex Software. In vendita 280.000 profili sanitari italiani completi di dati personali, prescrizioni e certificati medici.

La vicenda ha inizio il 7 marzo, quando un threat actor dallo pseudonimo euet2849, pubblica un primo post sostenendo di aver esfiltrato circa 300.000 profili sanitari di cittadini italiani, specificando che si tratta esclusivamente di soggetti residenti nel Nord Italia (ndr: proseguendo nella lettura, capiremo forse il motivo di questa precisa geolocalizzazione…).
Nel messaggio iniziale non viene fornita alcuna informazione sulla provenienza tecnica dei dati, ma solo un listino prezzi che varia da 1 a 35 euro per singolo dossier con diverse “opzioni” di acquisto.

• Opzione A
  • Nome completo, Codice fiscale, Data di nascita, Indirizzo di residenza
• Opzione B
  • Tutti i dati dell’Opzione A con in aggiunta: Indirizzo email, Numero di telefono, Storico prescrizioni mediche dal 2021/2022
• Opzione C
  • Tutti i dati dell’Opzione B con in aggiunta: Prescrizioni mediche recenti in PDF, Certificati medici (permessi di lavoro) in PDF

Il post viene aggiornato il 12 Aprile da parte dell’autore che lo “arricchisce” con nuove informazioni circa i backend da cui sarebbero stati esfiltrati i dati e gli exploit utilizzati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La società, sempre secondo il post, sarebbe stata contattata per segnalare le vulnerabilità, ma non avrebbe fornito risposta.

Secondo quanto riportato nel post i backend violati sono due:

• https://pazienteconsapevole.murex.it
• https://medicallive.murex.it

tutti e due presentano gravi vulnerabilità nei controlli delle variabili POST e GET, che hanno permesso l’accesso a dati sensibili sia dei pazienti che dei medici.

Il perchè dei dati sanitari di pazienti del Nord Italia

Analizzando i software indicati, il portale pazienteconsapevole è un software utilizzato in 112 farmacie tra le provincie di Milano, Brescia, Como e Monza Brianza; ecco spiegato il motivo per cui i dati in vendita sono riferibili ai pazienti del Nord Italia, come riportato da euet2849 nel suo post.

Prove tecniche dell’attacco

Nel thread vengono allegati link a materiale dimostrativo che documenterebbe l’accesso non autorizzato ai sistemi di Murex Software e la conseguente esfiltrazione dei dati. Gli screenshot pubblicati mostrano in modo inequivocabile l’accesso sia al portale riservato ai medici curanti, sia a quello dedicato ai pazienti.
Va inoltre sottolineato che i dati risultano recenti e aggiornati, confermando con buona certezza che l’attacco è avvenuto intorno alla metà di marzo 2025.

Considerazioni finali

Il data breach rappresenta un grave episodio di esposizione di dati sanitari in Italia, che coinvolge sia il canale medico che quello paziente. La criticità delle vulnerabilità tecniche — legate alla mancata validazione dei parametri sulle chiamate POST e GET — è una problematica ben nota nel mondo dello sviluppo web, ma ancora oggi troppo spesso trascurata.

La presenza di PDF contenenti prescrizioni e certificati suggerisce un livello di compromissione profondo, e una possibile persistenza prolungata del threat actor all’interno dei sistemi bersaglio.

Nessuna dichiarazione ufficiale

Ad oggi, Murex Software non ha rilasciato alcuna comunicazione ufficiale sull’eventuale compromissione dei propri sistemi, pertanto queste informazioni sono da intendere come “intelligence” sulle minacce.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Stivali

Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione