Stamani mattina Unicredit Banca ha diramato un nota ufficiale nella quale afferma di aver subito una intrusione informatica in Italia. Nel dettaglio la Banca dichiara accessi non autorizzati a dati riguardanti clienti italiani, relativi però solo a prestiti personali. I dati fuoriusciti, si legge nella nota, non comprenderebbero né password né codici per autorizzare transazioni bancarie, ma dati anagrafici dei clienti e i loro IBAN.
L'accesso sarebbe tramite un partner commerciale esterno italiano, ma la nota non rende chiaro se
l'attacco abbia o meno riguardato, in maniera diretta, i sistemi informatici di Unicredit. Difficile capire la dinamica dalla nota, ma considerato che i dati sono di un solo tipo (prestiti personali) è possibile che questo database fosse condiviso col partner esterno a scopi commerciali.
Le violazioni sono ben due
La nota, inoltre, specifica che le violazioni sono state ben due: una tra Settembre e Ottobre 2016 e l'altra tra Giugno e Luglio di quest'anno. E' quindi verosimile pensare che i pirati siano riusciti a passare inosservati per 9 mesi. La perdita di questi dati non ha, per i cyber criminali, immediata profittabilità, ma questi dati possono essere usati per confezionare attacchi di spear-phishing via email (cosa è lo spear-phishing?)
Il tema scottante: la sicurezza dei dati
Negli ultimi anni ci sono state svariate fughe di dati. Di alcuni abbiamo già parlato, ne ricordiamo alcuni che hanno fatto clamore per la gravità, tenendo di conto che i data breach cominciano ad essere all'ordine del giorno, dato che le informazioni e i dati sono ormai una vera e propria "merce" da scambiare nonché un mercato in costante crescita
1. L'ultimo in ordine temporale è la fuga di dati occorsa a Verizon. I dati di ben 14 milioni di utenti Verizon sono finiti esposti sul web per responsabilità di terzi: un contractor di terza parte ha dimenticato di limitare gli accessi esterni ad un server Amazon S3 che ospita un servizio di storage in cloud. Così i dati (in questo caso sensibili davvero: anagrafica, dettagli account e PIN account, registrazioni delle chiamate al supporto clienti Verizon) sono stati "comodamente" visibili sul web per qualche settimana.
Il database di Verizon accessibile online |
2. Il caso più eclatante contro aziende resta quello di Yahoo. Yahoo ha subito svariate fughe di dati: la prima fu denunciata solo nell'Ottobre 2016, ma avvenne nel 2014 e per ben due volte consecutive. Finirono nelle mani dei cyber-criminali 500 milioni di account: nomi, indirizzi, numeri di telefono, date di nascita ecc..anche in questo caso la nota affermava che non c'era stata fuga di dati finanziari come credenziali di accesso ad home banking, conti paypal ecc...
La seconda fuga di dati invece era avvenuta addirittura nel 2013, ma fu scoperta soltanto a Novembre 2016 (e ammessa pubblicamente solo verso la metà di Dicembre 2016). In questo caso i dati fuoriusciti riguardavano ben 1 milione di account: nomi, indirizzi email, numeri di telefono, date di nascita, password, domande e risposte di sicurezza ecc..
Questo ovviamente per parlare delle fughe di dati riguardanti aziende o enti: ma ricordiamo anche la fuga di dati all'NSA quella, tutta italiana, dei fratelli Occhionero ai danni di quasi 19.000 personalità pubbliche italiane.
Qualche conclusione
Unicredit ha reagito molto velocemente, attivando un numero verde e ricontattando coloro che sono stati vittime della fuga di dati. Il nuovo regolamento europeo sulla Privacy e la sicurezza dei dati obbliga i soggetti che subiscano data breach a darne comunicazione ai diretti interessati e alle autorità competenti entro 72 ore dalla scoperta, proprio per evitare "situazioni alla Yahoo". Ma è inutile correre ai ripari senza risolvere il problema a monte, ovvero mettendo in sicurezza i sistemi, sia dal punto di vista degli accessi interni che esterni.
Andrea Rossetti, al vertice del Security Lab dell’Università Bicocca, in merito all’attacco dell’Istituto Bancario afferma:
“E’ la prima volta in Italia che una banca dichiara pubblicamente e tempestivamente di essere stata vittima di un attacco informatico – questo attacco arriva dopo due grandi episodi di hacheraggio internazionale, tra maggio e giugno, e mostra come tutti i nostri dati siano sempre più esposti al rischio. La fragilità di un sistema che dovrebbe essere tra i più sicuri è l’ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico."
Fonti:
https://www.unicreditgroup.eu/it/press-media/press-releases-price-sensitive/2017/comunicato-stampa7.html
http://www.bitmat.it/blog/news/66525/unicredit-attacco-hacker-400-000-clienti
http://www.seqrite.it/dettaglioNews.asp?idNews=123
“E’ la prima volta in Italia che una banca dichiara pubblicamente e tempestivamente di essere stata vittima di un attacco informatico – questo attacco arriva dopo due grandi episodi di hacheraggio internazionale, tra maggio e giugno, e mostra come tutti i nostri dati siano sempre più esposti al rischio. La fragilità di un sistema che dovrebbe essere tra i più sicuri è l’ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico."
Fonti:
https://www.unicreditgroup.eu/it/press-media/press-releases-price-sensitive/2017/comunicato-stampa7.html
http://www.bitmat.it/blog/news/66525/unicredit-attacco-hacker-400-000-clienti
http://www.seqrite.it/dettaglioNews.asp?idNews=123
Nessun commento:
Posta un commento