venerdì 10 maggio 2019

Hacker VS PEC: l'attacco si allarga, il Garante Privacy lancia l'allarme


Le notizie di ieri si sono concentrate sull'attacco che gli hacktivisti di Anonymous hanno lanciato contro i server Lextel, il provider che gestisce gli account email PEC dell'ordine degli Avvocati di Roma. In breve, per rinfrescare la memoria, gli attaccanti sono riusciti a violare l'account amministratore, mettendo quindi le mani sul documento dove erano salvate in chiaro (e già questo fatto è una grave falla di sicurezza) le password di default degli account email PEC: così Anonymous è riuscita a mettere le mani sui dati e la corrispondenza di oltre 30.000 avvocati romani che non hanno mai proceduto alla sostituzione della password di default: l'attacco è avvenuto nei pressi dell' anniversario dell'arresto di Aken e Otherwise, due membri di AnonIta arrestati nel Maggio 2015 (ai quali l'attacco è stato dedicato). 

L'attacco è in corso da giorni, su più obiettivi
“In un primo momento – racconta l’avvocato Andrea Brunelli del Foro di Genova – si era diffusa la notizia che l’attacco riguardasse esclusivamente gli avvocati della capitale e ha avuto risalto perché tra gli indirizzi mail violati c’era anche quello di Virginia Raggi. Poi però da un amico consigliere ho saputo che diversi colleghi liguri sono caduti nell’imboscata degli hacker e così quelli campani. Lì ho capito che, nonostante quello che si leggeva sui media, l’attacco fosse più grave e non così circoscritto”.

Allargando lo sguardo, emerge che l'attacco è in corso da giorni e contro diversi obiettivi, tutti comunque accomunati dal fornire un servizio di email PEC poco sicuro: il 6 Maggio infatti il gruppo LulzSec_ITA, anche questo legato ad Anonymous Italia, ha colpito anche l'Ordine degli Avvocati di Caltagirone e Matera. Ieri invece anche  gli Ordine degli avvocati di Piacenza e Napoli hanno subito un duro colpo, mentre si sono registrati problemi tecnici a Bari ed Avellino. A fine Aprile invece sempre il gruppo LulzSec Italia aveva rubato credenziali di accesso e password ai danni del sito degli Archivi di Stato. 

Tutti casi accomunati da un problema ricorrente: l'inadeguatezza delle misure di sicurezza correlate alla gestione del servizio. Ancora più gravi se pensiamo che gli attacchi hanno violato il sistema di posta PEC, teoricamente il servizio di comunicazione più sicuro di cui dovrebbero godere enti pubblici, aziene e professionisti in genere. 

Il Garante Privacy suona l'allarme
Qualche ora dopo la segnalazione dell'attacco, regolarmente effettuata da LexTel secondo quanto previsto dal GDPR, il Garante per la Privacy italiano ha rilasciato una brevissima nota:

"Abbiamo avviato l'istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti. Sin da ora - sottolinea Soro - emerge l'assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la pec, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l'intera architettura del processo telematico".

Nessun commento:

Posta un commento