Gli Anonymous festeggiano il Gdpr bucando la Pec degli avvocati

Hacker’s Dictionary. Con un attacco mirato gli hacker attivisti italiani prendono possesso di 26.922 caselle di posta elettronica certificata degli avvocati di Roma, Virginia Raggi inclusa

di ARTURO DI CORINTO per Il Manifesto del 9 Maggio 2019

Nello stesso giorno in cui il Garante per la privacy Antonello Soro presentava in Parlamento la sua ultima relazione annuale, incentrata sul rapporto tra privacy e cybersecurity, Anonymous diffondeva sul web, pubblicamente, la Posta elettronica certificata di quasi 30mila avvocati romani con tanto di password, frutto dell’incursione verso i gestori del servizio, Visura.it. La grave violazione ha colpito perfino la sindaca Virginia Raggi di cui sono state diffuse email personali e documenti, mentre per stessa ammissione degli attivisti l’incursione non è riuscita a bucare la casella del premier Giuseppe Conte.

Nonostante l’avvocatura capitolina e i fornitori di servizi Pec e di firma digitale necessari al processo civile telematico siano subito corsi ai ripari, il danno potrebbe già essere enorme, sia per l’esposizione dei dati personali dei legali romani e dei loro assistiti, sia perché subito dopo le aziende di cybersecurity hanno notato un’impennata di attacchi informatici via Pec con un noto malware bancario allegato di nome Gootkit: una volta aperto, il malware è in grado di intercettare le comunicazioni di rete, incluse le sessioni di internet banking sui principali portali bancari italiani, e di rubare le password digitate dall’utente sulla tastiera.

È utile ricordare che il processo civile telematico oggi si svolge con l’uso combinato di Pec e firma digitale e che la loro appropriazione e manipolazione da parte di un malintenzionato potrebbe avere dei risvolti poco piacevoli per difensori e clienti visto che con questi strumenti gli avvocati notificano, depositano o impugnano degli atti legali. Un rischio così grave che, anche in concomitanza dell’interruzione del servizio di Pec da parte del gestore colpito, il Presidente della corte d’Appello di Roma ha autorizzato il ritorno al deposito degli atti cartacei per i giorni 8 e 9 maggio, previa autocertificazione di ciascun avvocato che attesti il mancato funzionamento della propria Pec. L’attacco alle 500mila Pec ministeriali del novembre scorso aveva bloccato i tribunali per tre giorni.

Sempre nelle stesse ore in cui gli Anonymous guadagnavano la ribalta, i ricercatori dell’azienda di cybersecurity Barracuda annunciavano un notevole aumento di «account takeover» (appropriazione delle credenziali) che, nel solo mese di marzo ha generato circa 1,5 milioni di messaggi spam o pericolosi da account Office 365 compromessi. Nomi utente e password sono il bottino di violazioni precedenti.
Siccome le persone spesso usano la stessa password per i propri differenti account, i criminali hanno potuto riutilizzare le credenziali rubate per guadagnare l’accesso ad altri account.

E tutto questo è accaduto a pochi giorni dal primo anniversario dell’entrata in vigore della Gdpr, la direttiva europea per la protezione dei dati personali che avrebbe dovuto alzare gli standard di sicurezza e convincere tutti, professionisti, pubbliche amministrazioni e multinazionali, a vigilare con più attenzione i dati che trattano.

Probabilmente ha ragione Fabio Pascali, di Veritas Technologies quando dice che «A distanza di un anno, il Gdpr fatica ad avere un forte impatto, in quanto non viene preso sul serio». Per le ammende troppo basse, sostiene lui. In realtà le cose stanno peggio: gli italiani non hanno compreso il valore della propria privacy, tant’è che sono pronti a barattarla per pochi spiccioli. Una ricerca di Kaspersky ha trovato che più di un terzo degli italiani (il 39%), sarebbe disposto a dare ad uno scon sciuto l’accesso totale ai propri dati privati in cambio di denaro.