Attacchi alle telco: è inutile fare gli struzzi

Hacker’s Dictionary. Un cyberattacco forse cinese contro provider europei, la violazione di database assicurativi, un servizio di social sharing bucato da delinquenti. Ma solo uno informa i suoi utenti

di ARTURO DI CORINTO per Il Manifesto del 27 Giugno 2019

Un cyberattacco, in corso dal 2017, ha colpito alcune compagnie di telecomunicazioni facendo incetta di enormi quantità di dati personali e aziendali. Lo hanno scoperto i ricercatori israeliani di Cybereason. Le telco coinvolte operano in trenta paesi e sarebbero attive anche in Italia. Se questo è vero ci aspettiamo informazioni dal Garante della Privacy. Nel frattempo vediamo cosa è accaduto. L’attaccante, spiega Cybereason, «è riuscito a infiltrarsi nei segmenti più profondi della rete dei provider, compresi alcuni isolati da Internet» e a violarne la sicurezza. La violazione ha riguardato nomi utente e password, informazioni sulla fatturazione e persino la registrazione di alcune chiamate. Le indagini «hanno dimostrato che gli attacchi erano mirati e che hanno tentato di rubare dati sulle comunicazioni di specifici utenti in vari paesi». Secondo i ricercatori c’è «un’alta probabilità» che l’attacco «sia sostenuto da uno stato nazionale e che sia riconducibile alla Cina».

Nell’attacco c’è infatti l’impronta di un gruppo di hacker cinesi, denominato Apt 10, già noto per questo tipo di attacchi. La Cina ha negato il proprio coinvolgimento. L’operazione, denominata SoftCell è stata appena scoperta, ma potrebbe risalire addirittura al 2012.

In questi stessi giorni, Dominion National, azienda americana di servizi medici e assicurativi ha notificato ai suoi clienti una violazione dei propri sistemi risalente all’agosto 2010. L’azienda ha affermato che l’indagine sugli incidenti, iniziata il 24 aprile 2019 ha portato alla scoperta che i suoi server erano stati compromessi in un attacco iniziato quasi nove anni fa. I server compromessi tuttavia archiviano informazioni demografiche e di iscrizione con tanto di nome, indirizzo, e-mail, date di nascita, numeri della previdenza sociale, identificativi fiscali, numero di conto bancario, eccetera. In un comunicato stampa Dominion National ha negato che le informazioni sensibili dei pazienti assicurati siano state «consultate, acquisite o utilizzate in modo improprio».

Anche Flipboard, un aggregatore di news online che permette di farsi la propria rivista digitale e conta 150 milioni di utenti mensili, ha subito un’intrusione che ha compromesso la sicurezza dei dati dei suoi utenti. Il databreach è stato svelato pochi giorni fa ed è il risultato di due attacchi, uno avvenuto tra giugno 2018 e marzo 2019 e un altro ad aprile scorso. I database colpiti contenevano tutte le informazioni relative agli account degli utenti, compreso nome, nome utente Flipboard, password protette da crittografia e indirizzo email.

Avviate subito le indagini, Flipboard ha creato una pagina ad hoc per informare la sua community dell’evoluzione del databreach e fornire istruzioni per mettere al sicuro i propri dati. In seguito all’accaduto milioni di password sono state resettate in risposta all’attacco.

Questi fatti, diversi tra di loro, hanno una cosa in comune: sono stati scoperti molto tempo dopo che il databreach era avvenuto, cioè quando la violazione dei dati degli utenti poteva già essere stata “incassata” dagli autori. Eppure solo in un caso c’è stato il diretto coinvolgimento degli utenti. La paura di subire un danno reputazionale dalla notizia di non aver saputo, o potuto, proteggere i propri clienti, produce il classico comportamento dello struzzo che infila la testa sotto la sabbia per ingannare il predatore che lo caccia. I nostri struzzi digitali però dovrebbero sapere che nel cyberspace i predatori attaccano le prede più facili e continuano a farlo finché possono farlo in segreto.