Protezione dati: tutto dovrebbe partire dall’utente di Avv. Gianni Dell’Aiuto

Le continue notizie di furti dati e attacchi hacker a singoli computer e intere piattaforme sono ormai talmente quotidiane al punto di non assurgere più agli onori della cronaca a meno che non tocchino i giganti del web e, solo in quell’occasione, la rete si indigna e mette sulla pubblica piazza del web la propria rabbia per sentirsi spiata e lamenta la mancanza di privacy. Un controsenso assoluto che rivela la mancanza di consapevolezza dell’utenza che pretende, viceversa, un assoluto rispetto della propria riservatezza da coloro che sono stati proprio da lui autorizzati a trattare i propri dati.

L’utente di Internet infatti dovrebbe essere cosciente che la navigazione in rete imporrebbe due forme di tutela dei propri dati e della propria riservatezza per garantirsi quanto più possibile da un lato dal furto e dalla perdita di dati dai propri apparati e, dall’altro, evitare che aziende e piattaforme internet facciamo un uso troppo disinvolto delle informazioni di cui sono state portate a conoscenza.

Il primo aspetto riguarda quindi un utilizzo corretto di smartphone, tablet e computer preoccupandosi non solo della loro efficienza ma anche delle connessioni e delle password. Una rete wifi non sicura e una password troppo semplice sono infatti i primi elementi che possono portare ad accessi abusivi da parte di malintenzionati, che potrebbero forse limitarsi a sottrarre e rivendere mailing list ad aziende di marketing oppure commettere furti di identità e svuotare conti correnti e fare acquisti a nome di chi non è stato attento. Password troppo semplici quali il proprio nome, la data di nascita, sequenze numeriche o della tastiera, quale qwerty, sono ancora troppo usate. I consigli da parte di esperti e dalla Polizia Postale di usare password sicure con l’uso di simboli, lettere e numeri adeguatamente alternati si perdono nel nulla.

L’altra faccia della protezione dati è quella della protezione dalle aziende o comunque dagli operatori a cui, per necessità contrattuali o per una semplice visita di un sito, mettiamo a disposizione i dati di navigazione, dati personali identificativi e, spesso, quelli fiscali, bancari e, non ultimi, quelli relativi alla salute e così via. Per questo aspetto il GDPR, il regolamento europeo per la protezione dei dati, dovrebbe rappresentare perlomeno un argine alla richiesta di dati, spesso inutili, da parte delle pagine internet e dei loro gestori che, peraltro, purtroppo hanno ancora difficoltà a comprendere come dovrebbero applicare la normativa. Ma, in ogni caso, l’utente medio di internet, spesso distratto o frettoloso di procedere nella navigazione, meccanicamente risponde “sì” con un click alla domanda se ha letto, compreso e accettato le condizioni di navigazione e di trattamento dati. In pochissimi lo fanno e selezionano i cookie o le preferenze ed ecco che, per loro stessa responsabilità, si trovano le mail intasate di spamming e messaggi phishing che ben possono venire aperti.

Da questo quadro emergono una generalizzata mancanza di educazione digitale e la non consapevolezza dei rischi che si corrono in rete specialmente quando, non dimentichiamolo, i dati che si trovano a disposizione di malintenzionati possono essere quelli di minori o persone indifese. Infine, per chi ha figli, queste considerazioni dovrebbero essere oggetto di maggiore riflessione sia per proteggere la loro navigazione in casa che, in particolar modo, quando i più piccoli disporranno del loro primo cellulare connesso alla rete.

In tutto ciò non si è voluto toccare l’argomento sensibilissimo dei social, un mondo a cui viene letteralmente regalata l’intera esistenza di una persona e che merita capitoli a parte.

RockYou2021: pubblicata online la più grande raccolta di password rubate di tutti i tempi. Contiene 8,4 miliardi di password. di s-mart.biz

Il sito di informazione cybernews.com ha riportato la notizia di un gigantesco data leak. Anzi, il più grande leak di password della storia, ad essere precisi.

RockYou2021 è una raccolta di oltre 8.4 miliardi di password, 100 GB di file in formato .TXT che, probabilmente, raccoglie in una sola collezione le password rubate da più data leak e data breach precedenti. La raccolta è stata messa online su un popolare forum di hacking e, stando all’autore del post, contiene password tra i 6 e i 20 caratteri con caratteri non ASCII e spazi rimossi. Il nome della raccolta è stato scelto da un utente del forum stesso e, ipotizzano gli esperti, potrebbe essere un omaggio a “RockYou”, una storica violazione avvenuta nel 2009 quando alcuni sconosciuti attaccanti riuscirono a “sciovolare” dentro i server di un notissimo social network sottraendo oltre 32 milioni di password memorizzate per errore in forma di testo in chiaro. Nella storia delle raccolte di password rubate, ce n’è una sola che si potrebbe paragonare a RockYou2021, ovvero COMB (Compilation of Many Breaches): questa contiene 3,2 miliardi di password ed è, adesso, anch’essa compresa entro RockYou2021.

Fonte: https://cybernews.com
Ecco come appare la raccolta di password. Fonte: https://cybernews.com

Per contestualizzare un pò le dimensioni dell’evento, potrebbe essere utile un paragone: considerando che al mondo ci sono circa 4,7 miliardi di persone collegate online, una raccolta di 8.4 miliardi di password può, potenzialmente, includere le password dell’intera popolazione globale connessa online… per due.

La redazione di Cybernews ha messo le mani su questa gigantesca raccolta ed ha creato due servizi per verificare il furto di dati personali o delle password: gli utenti che volessero verificare la sicurezza dei propri account e dei dati personali possono fare riferimento a questo utile servizio.

Alcuni consigli utili per reagire al leak
Coloro che hanno subito il furto delle proprie password dovrebbero:

  • cambiare le password di tutti i propri account, non solo quelli che vedono l’uso della stessa password (pratica deprecabile in termini di sicurezza informatica, ma, purtroppo, molto diffusa);
  • utilizzare password solide (contenenti caratteri speciali, numeri, maiuscole e minuscole evitando l’uso di dati come date di nascita, nomi propri ecc…), che sono più difficili da individuare, oppure utilizzare un password manager / generatore di password;
  • abilitare l’autenticazione a due fattori (2FA) su tutti i propri account online;
  • prestare particolare attenzione alle email ricevute nei propri account email, ma anche tramite app di messaggistica o social. Gli account rubati sono molto spesso usati per portare attacchi di phishing o per diffondere malware.

Non c’è, invece, alcun rimedio al furto di dati personali: gli utenti dovrebbero ben tenere a mente questo problema, risolvibile solo in forma preventiva con solide pratiche di “igiene digitale”.

Aumento della criminalità informatica? GDPR come arma di difesa di Avv. Gianni Dell’Aiuto

Non è necessario alcuno sforzo di immaginazione o di fantasia per rendersi conto che la criminalità informatica è in costante aumento; è del resto logico pensare che ladri e borsaioli preferiscano agire su piazze ben popolate per confondersi con la massa e rubare portafogli e borsette. Ovvio quindi che, con l’aumento di frequentatori di quella piazza virtuale enorme che è la rete, i malintenzionati rivolgano maggiore attenzione ad un contesto dove non solo si presentano le occasioni migliori e sempre più numerose, ma anche dove si trovano i portafogli migliori da sottrarre; addirittura vere casseforti.

Queste casseforti, piene di preziosissime monete, sono gli archivi e le banche dati delle aziende, che permettono di accedere a indirizzi e dati personali di milioni, se non miliardi, di utenti internet che possono essere usati per i più vasti scopi illeciti: profilazione, vendita ad aziende di marketing, hackeraggio vero e proprio sono solo alcuni dei possibili usi dei dati. Ma se gli scippatori di internet sembra siano attratti dai bottini più pingui, anche i piccoli portafogli sono attraenti; basti pensare ad un commercialista o un avvocato a cui criptare tutti i dati contenuti nei propri archivi per poi chiedere un riscatto in Bitcoin per restituirli (forse). Altre informazioni che sono contenute nei nostri computer e smartphone sono i dati di accesso ai conti correnti e i numeri di carte di credito ed i codici per i pagamenti online. I rischi possono andare da quello di vedersi svuotare il conto corrente o anche quello di scoprire che qualche buontempone ha fatto acquisti a nome nostro su un portale di vendite online.

I ladri di dati possono inoltre contare su due elementi che giocano decisamente a loro favore. In primis l’anonimato, che possono garantirsi con connessioni da remoto con account fasulli o, magari, usando le credenziali di accesso di un ignoto navigatore; inoltre possono fare affidamento sulla disattenzione e le distrazioni dell’utente medio di internet che, troppo spesso, non si rende conto delle conseguenze di un click, magari fatto con un dito mentre cammina in strada, parla con gli amici o beve un caffè. I pirati informatici sono consapevoli di come sfruttare a loro favore i comportamenti umani mediante attività di social engeenering, vale a dire sfruttare il comportamento umano e le sue debolezze per meglio poter accedere ai loro terminali digitali.

In tutto ciò le aziende si trovano al centro degli attacchi informatici in quanto non solo obiettivi ideali per i furti di dati e le estorsioni, ma anche perché è difficile ipotizzare, e quindi monitorare, tutti i possibili attacchi portati sfruttando le debolezze del fattore umano che, in questo momento, sono aumentate a causa dello smart working e, comunque, delle possibilità di operare da remoto: computer usati per ogni scopo, anche da altri, e reti non sicure sono fattori che incrementano i rischi.

In questo contesto emerge più che mai per aziende e professionisti la necessità di prestare maggiore attenzione alla protezione dei dati e rispettare le prescrizioni del GDPR che, visto in questa prospettiva, diventa una potente arma di difesa e uno strumento di profilassi dai rischi maggiori. Minimizzare i dati in proprio possesso è già uno strumento utile se non indispensabile e, allo stesso tempo, porre in essere tutti gli strumenti di protezione per sé stessi quali, a banale titolo di esempio, firewall e buoni sistemi antivirus a cui affiancare un adeguato training di tutto il personale che dovrà, sotto qualsiasi forma, occuparsi del trattamento dati e, anche sotto questo punto di vista, limitare quanto più possibile gli accessi. Le policy in caso di data breach e, in ogni caso, raccolta del consenso e corretta conservazione, diventano indispensabili corollari.

Il GDPR da molti ancora considerato un costo o un inutile dispendio di attività può invece rivelarsi uno strumento difensivo importante per ogni azienda.

Data Breach al Ministero della Giustizia: visibili e consultabili i dati dei candidati all’esame di avvocato di Avv. Gianni Dell’Aiuto

Quanto già accaduto all’INPS, vittima di attacchi in occasione dell’erogazione bonus, ad alcune

pubbliche amministrazioni che hanno subìto la criptazione delle anagrafi da parte di hacker, è la volta

del Ministero della Giustizia che ha subìto un data breach che ha visto vittime gli aspiranti avvocati.

Dalle notizie che si possono trovare in rete, principalmente sui social, alcuni candidati accedendo alla

loro posizione si sono trovati di fronte i dati e le posizioni di altri loro colleghi. Non è chiarissimo se si

tratti degli ultimi candidati della sessione 2019 che devono ancora sostenere la prova orale, ritardata

a causa del Covid, ovvero coloro che sono chiamati a sostenere la prima prova orale, che sostituisce

quella scritta, della sessione 2020, che è appena agli inizi.

Luoghi e date di nascita, residenza, codici fiscali, recapiti telefonici e indirizzi mail: le segnalazioni sono

iniziate dai candidati stessi che, al momento di accedere, hanno rilevato delle anomalie.

Una notizia riportata da “Il Fatto Quotidiano” parla di candidati che, ritenendo si trattasse di una banale

anomalia, avrebbero fatto un click di troppo sulla casella “rinuncia” impedendo ad un collega di

partecipare all’esame.

Parlare di hackeraggio o di falla del sistema, in questi primi frangenti, non è possibile. Si resta in attesa

di accertamenti anche per sapere con certezza che cosa sia accaduto e come il Ministero intenda

porre rimedio all’accaduto e tutelare i giovani praticanti ma, il problema di fondo è come si stia ancora

una volta chiudendo la stalla dopo che sono già fuggiti i buoi. In ogni caso, mentre stiamo scrivendo,

la piattaforma del ministero dedicata ad esami e concorsi risulta in fase di ripristino. Un danno enorme,

e non solo di immagine, per il dicastero che, a parte i dati dei candidati ad un esame di abilitazione,

detiene tutti i file delle condanne e dei procedimenti penali degli italiani.

Si pone quindi, ancora una volta, il problema del trattamento e della protezione dei dati. Quella che,

impropriamente, continuiamo a chiamare “privacy”, se da un dato è la riservatezza del dato stesso,

dall’altro è il dovere che grava su colui che ne ha la disponibilità di proteggerli e tutelarli da forme di

attacchi esterni ma anche, e principalmente, quando sono nella sua disponibilità perché non vi siano

fughe o altre forme di fuoriuscita degli stessi. Già in passato erano state attaccate le PEC degli avvocati

ed anche il sito dell’Ordine Avvocati Roma aveva subìto un attacco.

Sarebbe quindi semplice prevedere che pirati informatici possano attaccare siti web nei momenti di

massima delicatezza quali, ad esempio, proprio quello di un esame o di un concorso. Quest’anno,

in particolare, la quasi sovrapposizione tra la fine delle prove orali della sessione 2019 e l’inizio di quelle

del 2020, avrebbe dovuto indurre chi è deputato alla protezione del dato ad una maggiore vigilanza

tenendo anche conto dell’altissimo numero di utenti che, quotidianamente, potrebbero accedere alla

loro posizione, ricevere mail con le convocazioni, depositare istanze o ricorsi.

In ogni caso si tratta di una bruttissima vicenda che dovrebbe richiamare l’attenzione in primis delle

istituzioni sul problema cybersicurezza e protezione dati in contesti in cui i rischi di attacchi

aumentano. Le criticità emerse in alcuni casi di inserimento da parte di estranei nelle lezioni tenute in

DaD potrebbero ripresentarsi nello svolgimento degli esami per una professione delicata come quella

forense: prendere tutte le necessarie misure è indispensabile, confidando che, come purtroppo spesso

è accaduto, i dati dei candidati non si trovino già in vendita, in pacchetti, sul darkweb o sul deepweb.

Rischio Ransomware: non basta un antivirus di Avv. Gianni Dell’Aiuto

ransomware sono considerati le più aggressive e temibili forme di attacco informatico; sicuramente è il sistema più utilizzatO dagli attaccanti anche in considerazione dei risultati a cui può portare. Secondo il rapporto Clusit 2021 gli attacchi ransomware sono il 67 % di tutti quelli effettuati: due su tre. Da un altro rapporto l’Italia si colloca al quarto posto in Europa per queste forme di attacco; a livello mondiale sono sempre gli Stati Uniti il paese più colpito.

Gli effetti di un attacco ransomware portato a termine possono essere tra i più devastanti per un’azienda o un ente pubblico che, improvvisamente, non riesce più ad avere accesso ai propri dati fino al punto di vedere paralizzata l’intera attività; un vero e proprio rapimento dei dati per i quali viene chiesto un riscatto (ransom in inglese) e, più che nei sequestri di persona, resta il dubbio se i rapitori rilascino effettivamente il bene in ostaggio ovvero lo usino (o lo abbiano già usato) per altri ricatti o rivenduto ad altri hacker o aziende che, con questo sistema, si creano un database ben fornito.

L’attaccante in questi casi si rivela ben strutturato e, oltre a informare immediatamente la propria vittima, mette immediatamente a disposizione tutte le istruzioni per permettergli di pagare il riscatto in moneta virtuale,  magari dopo una rapida trattativa. Il sistema più utilizzato per gli attacchi ransomware resta quello delle email di phishing, magari inviate sfruttando sistemi di ingegneria sociale che preventivamente carpiscono la figura del destinatario o, più probabilmente, di un suo dipendente o anche di una segretaria; anche la navigazione su siti compromessi dagli hacker o appositamente creati per indurre in errore navigatori sempre più distratti o che fanno click senza prima accertarsi dove siano puntati mouse e dita. Famosi restano i casi dei ransomware denominati Wannacry e Criptolocker che hanno fatto non pochi danni in rete.

Per un’azienda, e questo è il punto focale della problematica ransomware, la questione deve essere valutata sotto due diverse angolazioni: prima del ransomware, con l’attività di prevenzione, e dopo l’attacco con la predisposizione di tutte le procedure a livello non solo informatico, ma anche per le informative al Garante e alla propria utenza, i cui dati sono esposti al rischio di essere rivenduti o utilizzati in altre maniere illecite.

Difendersi prima è possibile ma oltre agli antivirus, non è possibile prescindere da una efficace formazione dei titolari e del personale deputato a trattare il dato per dare l’idea della dimensione del rischio e creare la consapevolezza delle conseguenze che possono derivare da questi attacchi, specificando anche che potrebbero esservi ripercussioni a livello disciplinare.

La gestione di una fase successiva è invece attività che deve, purtroppo, essere prevista e che non deve limitarsi al semplice recupero dei dati: un backup o avere copie di riserva dei dati in memorie esterne sono soluzioni aziendali, ma non possono essere utili quando si dovrà informare dell’accaduto il Garante e i propri clienti, con l’immaginabile crollo di immagine e reputazione. Inutile dire che si tratta solo di “piccole falle” o che gli utenti non sono esposti a rischi in relazione ai dati: nominativi, mail, utenze telefoniche, probabilmente anche Iban bancari e dati di carte di credito si trovano in mano ad hacker con pochi scrupoli.

Pagare il riscatto? Potrebbe non essere la soluzione, ma solo l’inizio di altri problemi quali nuove richieste di pagamento e l’assoluta certezza che i dati potrebbero essere comunque usati illecitamente e, comunque, non restituiti.

Disaster Recovery Plan. In quanti ci pensano? di Avv. Gianni Dell’Aiuto

Continuare a chiamare privacy la Protezione dei dati, non ci stancheremo di dirlo, porta a gravi distorsioni che inducono a ritenere sufficienti per adempiere al GDPR una privacy policy scaricata da internet e un antivirus. Non è così e, purtroppo, i più se ne rendono conto quando è troppo tardi, magari dopo che una sanzione del Garante o con la perdita dei propri dati, evento che è solo l’anticamera di un intervento successivo dell’Authority.

Ne sanno qualcosa le aziende vittime incolpevoli dell’incendio di un data center che, come riportano notizie di stampa, hanno subito non solo gravi disagi, ma anche creato disservizi alle loro clientele se non, sembra in alcuni casi, addirittura la totale perdita del database aziendale. Si tratta di un evento che, talvolta, non viene preso in giusta considerazione al momento della analisi dei rischi che corrono i dati aziendali e nella predisposizione della privacy policy. La maggior parte delle analisi si focalizza sui rischi che possono essere definiti ordinari, quali un cyberattacco e la successiva fase di recupero dati, ma evenienze catastrofiche, all’apparenza ai confini dell’impossibile, non possono essere trascurate.

Pertanto, non solo deve essere prevista una procedura in caso dei più normali data breach, ma un imprenditore attento deve tenere presente anche l’evenienza di eventi ancora più gravi e, per farlo, non può prescindere da una approfondita conoscenza di quella che possiamo ben definire la catena della privacy nella propria azienda.

In tal senso diventa fondamentale sapere con esattezza dove vengano conservati i dati, informazione che non sempre gli imprenditori dimostrano di sapere in quanto si fidano dei propri web developer, fornitori di gestionali e creatori di siti ai quali si sono affidati. E’ necessario quindi accertarsi che vengano periodicamente eseguiti dei backup per avere le copie dei dati, ma anche la consapevolezza di dove materialmente i propri fornitori abbiano inserito uno dei beni aziendali più preziosi ed appetibili per hacker e pirati informatici.

A tutto ciò deve peraltro essere aggiunto, insieme alle procedure in caso di data breach, anche un vero e proprio piano di Recupero dal Disastro (DRP), un documento aziendale dettagliato che indichi come attivarsi a seguito di eventi catastrofici e che non rientrano in canoni normali di prevedibilità. Questo documento assume rilievo fondamentale quando, all’esito di un evento, l’impresa debba rispondere davanti al Garante dell’accaduto e dimostrare di avere fatto tutto quanto in suo potere per evitare la perdita dei dati, ma anche avere previsto tutte quelle procedure virtuose che potranno limitare eventuali provvedimenti sanzionatori.

Limitare al massimo eventuali interruzioni di servizio, individuare da subito i reparti e le risorse da coinvolgere, che dovrebbero in tal senso ricevere anche la giusta formazione, sapere quali componenti della struttura debbano essere utilizzati sono solo i primi elementi di una strategia di intervento che, in ogni caso, non può prescindere a monte dalla ricostruzione della catena per individuare i vari passaggi e, preventivamente, disciplinarli contrattualmente laddove necessario con soggetti esterni o con lettere di incarico a chi opera all’interno della struttura.

I dati illecitamente ottenuti non possono essere utilizzati di Avv. Gianni Dell’Aiuto

Il Garante per la Protezione dei dati personali si è immediatamente attivato di fronte delle notizie di stampa che hanno riferito del data breach di Linkedin, a seguito del quale sono oggi disponibili in rete i dati di circa mezzo miliardo di utenti che sono stati sottratti mediante web Scraping. Si tratta, questa, di una tecnica usata per sottrarre dati mediante programmi software che simulano una normale navigazione mediante i browser più utilizzati quali Mozilla e Firefox.

Il nostro Garante ha preso atto di come, tra i dati così ottenuti dagli hacker, vi possano essere nomi completi e indirizzi email di utenti che possono essere collegati ad altri social nonché le qualifiche professionali degli iscritti ad una piattaforma usata esclusivamente per motivi di lavoro. Non è possibile escludere che siano stati oggetto di sottrazione anche altri dati sensibili.

Se da un lato qualcuno potrebbe pensare che, in teoria, i dati che gli utenti rilasciano su internet siano volutamente esposti in quanto ciò che viene ricercato è una forma di visibilità personale, i rischi di utilizzo illecito sono elevatissimi, in particolare da parte di aziende che, nonostante le ultime, recenti, salate sanzioni dello stesso Garante, continuano attività di telemarketing.

Il Garante ha quindi chiesto informazioni sul Data breach a Linkedin, ma non si è sottratto dal ricordare come ai sensi dell’art. 2-decies del Codice Privacy, così come modificato, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati ed ogni trattamento sarebbe privo di una valida base giuridica.

Sulla base di queste premesse il Garante ha emesso un avvertimento a chiunque, per qualsiasi ragione, tratti dati personali: l’avvertimento specifica che ogni forma di trattamento dei dati personali oggetto della violazione descritta in premessa si porrebbe in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali.

Un ammonimento che si spera non resti lettera morta nei confronti di chi pensasse di accedere a questa miniera di informazioni per farne uso.

Ransomware e istituzioni: dopo i Comuni di Brescia e Rho, giù i server dell’Agenzia Territoriale per la Casa di Torino. Negare i databreach è un errore! di Alessandro Papini – Presidente AIP

Periodo nero per l’Italia, in fatto di ransomware, con una particolarità: certo, le aziende restano bersaglio prediletto dei ransomware come dimostrano gli attacchi che hanno affossato i server di Boggi Milano e Axios, ma la nuova frontiera pare quella di colpire le istituzioni.

I comuni di Brescia e Rho sono stati attaccati durante le vacanze di Pasqua: criptati tutti i dati, server down, servizi alla cittadinanza (come l’anagrafe) sospesi e inaccessibili, estorsioni e ricatti milionari. 1.3 milioni di euro in Bitcoin è stata la richiesta al Comune di Brescia, 400.00 euro divenuti poi 650mila qualche giorno dopo sono stati richiesti al Comune di Rho. “Tra l’altro – dice il sindaco di Rho Pietro Romano – hanno davvero sbagliato bersaglio, visto che un’amministrazione comunale, anche volendo, non avrebbe potuto mai pagare“.

Infine è la volta dell’Agenzia Territoriale per la Casa di Torino: l’attacco si è svolto nella notte tra il 10 e l’11 Aprile ha completamente bloccato il sistema. I tecnici hanno scoperto l’attacco soltanto la mattina, annunciandolo poi poco dopo sui social e comunicando la sospensione di tutte le pratiche agli sportelli. Il sito web non è ancora stato ripristinato: come si legge all’indirizzo https://www.atc.torino.it/, è stata approntata una pagina provvisoria in attesa che il sito ufficiale possa essere ripristinato.

La cifra richiesta in riscatto è di 700.000 dollari, nel frattempo le famiglie che usufruiscono dei servizi di ATC, che gestisce 30.000 appartamenti di edilizia popolare a Torino, stanno incontrando disservizi continui: tema che l’Agenzia stessa ha portato all’attenzione degli attaccanti, forse in cerca di una risoluzione “etica” della questione. Alla fine, ha detto l’Agenzia agli attaccanti, chi sta subendo l’attacco non è l’agenzia stessa ma sono le famiglie.

Dalla comunicazione presente sulla pagina si evince che sono sospese anche le comunicazioni email e che anche il sistema di pagamanto è sospeso e sta determinando ritardi e disservizi. ATC ha fatto sapere di non avere alcuna intenzione di pagare il riscatto, nel frattempo mantiene i servizi possibili tornando a carta, penna e fax.

Ransomware e data breach: rassicurare troppo presto è un errore
ATC, rispetto ad altre vittime italiane recenti, non si è limitata ad allertare la Polizia Postale ma ha anche regolarmente notificato al Garante per la Protezione dei dati personali il data breach subito. Correttamente ATC ha fatto un ragionamento che dovrebbe valere sempre, vista l’evoluzione delle tecniche di attacco dei gruppi ransomware: un attacco ransomware va sempre e comunque considerato un data breach.

Il trend del “doppio riscatto” (addirittura triplo i alcuni casi) è ormai dato per assodato nel mondo dei ransomware: i gruppi di attaccanti richiedono ormai quasi sempre due diversi riscatti, uno per ottenere il tool per riportare in chiaro i file e uno per non far pubblicare i dati rubati o metterli in vendita nel dark web. Un solo attacco, doppio profitto, si potrebbe dire in breve. Questo è il motivo per il quale oramai ogni attacco ransomware è preceduto da una fase in cui gli attaccanti cercano, ottenuto l’accesso iniziale alla rete, di diffondersi a tutte le macchine collegate in rete (e eventualmente ai servizi cloud, dove presenti) per esfiltrare / rubare quanti più dati possibili, molto molto spesso dati sensibili e personali.

ATC da questo punto di vista è stato virtuoso: esponendosi anche al rischio di eventuali future sanzioni del Garante (che ha ovviamente aperto istruttoria e dovrà valutare la conformità del trattamento dei dati in atto presso ATC rispetto al GDRP) ha correttamente denunciato il data breach. Denuncia che invece non è avvenuta negli altri casi noti: anzi, al contrario sia il comune di Brescia che quello di Rho hanno categoricamente negato la compromissione di dati personali e sensibili, forse nel tentativo di ridurre il danno d’immagine.

Un esempio potrebbe essere la terribile figuraccia rimediata dal Comune di Brescia, vittima del ransomware DoppelPaymer, tra i più importanti ransomware specializzati nella tecnica della “doppia estorsione”. Il Comune, che prima aveva negato l’attacco per poi invece confermarlo costretto dai fatti a causa di diverse soffiate e fughe di notizie sui giornali nazionale e locali, ha ripetuto fermamente, convintamente e più volte di non aver subito data breach: insomma, utenti rassicurati, i dati personali dei cittadini bresciani sono al sicuro.

Peccato che pochissimi giorni dopo queste roboanti dichiarazioni, gli attaccanti hanno non solo aumentato il riscatto (ad ora a 3 milioni di euro), data la ferma volontà dell’amministrazione di non pagare, ma hanno anche pubblicato sul proprio sito di leak 4 file scaricabili contenenti una parte dei dati rubati. Stesso trama per il Comune di Rho: negata l’esfiltrazione dei dati, ma pochi giorni dopo sempre il gruppo DopplePaymer ha pubblicato nel proprio sito di leak e messo in vendita i dati rubati. Le foto sotto mostrano alcuni dati pubblicati sui siti di leak degli attaccanti che hanno colpito i comuni di Brescia, Rho e Caselle Torinese.