Secondo i tecnici dell’azienda l’esposizione dei dati dei clienti non ha impattato il normale funzionamento dei servizi e “non c’è stato alcun danno all’integrità e alla disponibilità dei dati”, anche se si è trattato di un attacco vero e proprio. Qualcuno ha avuto accesso ai dati e li ha potuti “leggere”, in gergo si parla di perdita di confidenzialità: c’è qualcun altro che conosce dati che dovrebbero rimanere riservati alle transazioni che si è deciso di avere. Ma tecnicamente, che è successo? Si è tratta di un difetto del software, di un malware, di un errore umano? Da noi contattati, i responsabili di Aruba hanno dichiarato che l’attaccante ha trovato uno spiraglio in un software di terze parti (ancora una volta un problema di supply chain, come per Kaseya e SolarWinds), che serve a pubblicare le guide di Aruba sull’uso dei suoi servizi da parte degli utenti, sfruttando una pagina web che l’azienda pubblica come fosse un archivio.
Tuttavia, in una nota privata ottenuta da Italian Tech e inviata a uno degli interessati che chiedeva assistenza e delucidazioni, Aruba afferma che “i sistemi gestionali interessati dall’evento contengono i suoi dati anagrafici di fatturazione e i dati di autenticazione dell’area clienti, quali login e password, queste ultime protette da crittografia forte, e comunque prontamente disabilitate, e pertanto non utilizzabili” e che “non sono stati in alcun caso interessati i dati di pagamento (es. carte di credito), né i servizi dei clienti (hosting, cloud, email e così via) e tutti i dati in essi contenuti.”
Un portavoce di Aruba ci ha spiegato l’accaduto con una metafora: “Eravamo a casa in una stanza con la luce accesa, e quando abbiamo visto qualcuno affacciarsi alla finestra abbiamo spento la luce perché non guardasse dentro” – e ha poi ribadito quanto scritto in una nota aziendale – “Dopo due mesi e mezzo di analisi e monitoraggio possiamo affermare che non abbiamo trovato evidenza che i dati violati siano stati usati o messi in vendita.”
Tuttavia, i dati degli utenti associati a un singolo servizio spesso sono usati dai cybercriminali per campagne di phishing, cioè per l’invio massivo di email fraudolente, che inducono gli utenti a compiere azioni a loro danno, come impiantare un malware nel computer e proseguire con un furto di identità, ancora più pericoloso quando parliamo di identità e servizi certificati.
Per adesso gli eventuali effetti negativi sono difficili da stabilire: il Garante della privacy ha sospeso l’attività ispettiva in loco causa Covid, e non si sbottona sull’entità dei clienti interessati o sulla tipologia di attacco. È stato informato 48 ore dopo la scoperta del breach e ha avviato la sua istruttoria, tuttora in corso, “con interlocuzioni utili verso l’azienda”, mentre “si stanno valutando le decisioni da prendere entro la fine del mese”, come ci dice una fonte qualificata.
Aruba non ha subito databreach importanti nel passato, come molti altri grandi fornitori di servizi (si pensi al caso di Microsoft Exchange), ma anche se si trattasse di un caso minore, merita molta attenzione proprio perché l’azienda fornisce la PA e, ironia della sorte, lo stesso Garante della Privacy. Infatti, se pure si trattasse di poche migliaia di utenze, a fronte di centinaia di migliaia di clienti forniti da Aruba è importante invitare tutti alla massima cautela, visto che, come dice la stessa azienda sul suo sito, “sottrazione fraudolenta di codici riservati, accessi indesiderati, versamenti di denaro a società o enti inesistenti sono le conseguenze più conosciute delle truffe online veicolate da email o SMS che sembrano provenire da fonti affidabili, presentando loghi di aziende note, banche o addirittura di enti pubblici”. Come nel caso di un eventuale uso illegittimo dei dati spiati ad Aruba, appunto. Non è infatti difficile ricostruire un indirizzo email da un nome e cognome, o l’affiliazione lavorativa da un indirizzo di posta impersonando il legittimo titolare e spacciandosi per esso.