Clamoroso: il quotidiano Il Manifesto espone i dati dei propri lettori, database con milioni di log accessibile a chiunque

Una svista tecnica ha messo in imbarazzo uno dei giornali più longevi e simbolici della stampa italiana. Secondo quanto riportato da Cybernews, il quotidiano Il Manifesto avrebbe lasciato accessibile senza password un database ClickHouse contenente oltre 11 milioni di log relativi alle visite sul proprio sito web e 150.000 indirizzi email di abbonati paganti.

I dati, esposti pubblicamente e indicizzabili dai motori di ricerca, includevano dettagli come IP, session token, informazioni sui dispositivi, geolocalizzazione fino a 11 metri di precisione e i referrer, cioè i link da cui gli utenti avevano raggiunto gli articoli. Un insieme di informazioni che, pur non contenendo password, consente di ricostruire il comportamento dei lettori e potenzialmente la loro identità politica.

Fondata nel 1969, la testata è un punto di riferimento per la sinistra italiana, gestita oggi come una cooperativa no profit con una tiratura quotidiana di circa 15.000 copie. La notizia del leak ha destato forte preoccupazione proprio per la natura politica del giornale: conoscere chi legge determinati articoli significa, in parte, conoscere le opinioni e le inclinazioni ideologiche di quei lettori, un'informazione considerata "special category data" ai sensi del GDPR europeo.

Il rischio, spiegano gli esperti, è che dati di questo tipo possano essere sfruttati da attori politici o governi per attività di sorveglianza o campagne di disinformazione. Ma non solo: la stessa esposizione ha reso visibili anche le metriche interne del sito e ha fornito a potenziali concorrenti un quadro dettagliato delle performance editoriali.

Cybernews, una testata online internazionale specializzata in cybersicurezza con un team di ricerca interno che conduce indagini indipendenti, afferma di aver contattato sia la redazione de Il Manifesto che il CERT italiano per segnalare la vulnerabilità, ma l'accesso alla base dati sarebbe rimasto aperto nonostante i tentativi di comunicazione. Gli esperti raccomandano l'adozione immediata di misure come l'autenticazione obbligatoria e il whitelisting IP, per limitare l'accesso solo a personale autorizzato.

Non si tratta di un caso isolato: Cybernews segnala che database non protetti sono un problema diffuso e spesso sottovalutato. Anche grandi gruppi mediatici come Thomson Reuters sono incorsi in incidenti simili, con l'esposizione di terabyte di dati sensibili e persino password in chiaro.

Il caso de Il Manifesto riapre dunque il dibattito sulla sicurezza informatica nel mondo dell'editoria, dove la trascuratezza tecnica può avere ricadute etiche e politiche pesantissime. In un'epoca in cui la fiducia del pubblico è un bene sempre più raro, proteggere i dati dei lettori non è solo un obbligo legale: è una questione di credibilità.