La mattina di Ferragosto, intorno alle 10, la redazione del Corriere della Sera ha iniziato a notare alcune anomalie sul sito. Pochi minuti dopo, mentre cercavamo di capire cosa fosse successo, al posto di Corriere.it è comparsa una pagina nera con il messaggio in inglese di un hacker albanese che si firma «Amar^SHG» e che dichiara di aver colpito in passato — tra gli altri — i portali di Canal Plus e MeteoFrance (chi è l’hacker che ha attaccato Corriere e Gazzetta di Marta Serafini).

Fra i nostri lettori, alcuni visualizzavano il messaggio, mentre altri non riuscivano a vedere la pagina su cui era deviato il traffico. Qualcuno sosteneva su Twitter che volessimo goderci il giorno di vacanza, invece i nostri tecnici erano al lavoro per far ripartire il sito.

In principio, i giornalisti hanno pensato che l’attacco informatico fosse rivolto direttamente alla nostra pagina web. I tecnici — che hanno ricevuto subito la segnalazione automatica del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche prima ancora di fare denuncia alla polizia postale – hanno spiegato invece che l’origine del problema era il portale Registro.it, l’autorità nazionale che gestisce e smista il traffico dei domini italiani, i cui rapporti con Rcs sono gestiti da Tuonome Registrar, un servizio per la registrazione di domini internet.

«Amar^SHG» è stato probabilmente in grado di prendere il controllo degli indirizzi internet gestiti da Registro.it, focalizzandosi unicamente su quelli del Corriere e della Gazzetta dello Sport che sono stati reindirizzati verso un’altra pagina. Come spiega il portale Siamogeek.com — secondo il quale l’attacco a Ferragosto non è casuale – Corriere e Gazzetta puntavano all’indirizzo IP 91.148.168.111, assegnato a un’entità di Sofia, in Bulgaria. Digitando www.corriere.it si finiva quindi sul sito degli hacker, che però non era in grado di reggere il nostro traffico: per questo qualcuno riusciva a visualizzarlo, mentre altri no.

I tecnici di Registro.it e Tuonome.it sono intervenuti alle 10.30 per risolvere il problema, ma gli hacker avevano fatto in modo che l’attività di ripristino fosse rallentata, bloccando per 4 ore la possibilità di reindirizzare nuovamente il dominio verso il nostro sito. I tecnici di Rcs, per aggirare il problema, hanno quindi dovuto contattare direttamente i principali provider italiani, come Tim e Vodafone, per forzare l’aggiornamento.

Attorno alle 13.30, dopo oltre tre ore, il sito del Corriere della Sera ha ricominciato a funzionare in modo graduale.