Articoli

Data Breach: colpiti Google, il Bundestag e Town of salem

Avv. Vincenzo Colarocco

L’anno nuovo è appena cominciato ma continuano a segnalarsi continue violazioni sui dati personali. Questo primo scorcio di 2019 appare sin da subito funestato dal fenomeno “data breach” che, in maniera così rilevante, aveva segnato l’intero anno appena trascorso (per un approfondimento sui data breach più significativi del 2018 si può consultare questo interessante contributo del “Sole 24 Ore”). Tra il 2 ed il 3 gennaio, infatti, si sono verificati una serie di attacchi hacker mirati a colpire titolari dei dati estremamente eterogenei tra loro, con conseguenze assai rilevanti per gli interessati colpiti.

La prima violazione in esame ha coinvolto oltre 7 milioni di utenti del gioco online Town of salem. A divulgare la notizia del breach è stato DeHashed, motore di ricerca di violazioni di dati e deputato al monitoraggio degli attacchi compiuti verso database e perdite di dati conseguenti ad attacchi hacker sul web. L’informazione è stata confermata dalla Blank Media Games (“BMG”), azienda sviluppatrice del videogioco, la quale conferma che, come risultato dalle prime analisi, i dati trafugati includerebbero nomi utente, e-mail, password, indirizzi IP, attività di gioco svolte, messaggi postati nel forum del sito e informazioni relative ai pagamenti. Assieme al rischio cui sono inevitabilmente esposte le informazioni sui pagamenti degli utenti (non è da escludersi, in particolare, la possibilità che tali dati possano essere utilizzati dai cybercriminali per compiere truffe online), un’altra delicata criticità riguarda la giovane età degli utenti coinvolti (tenuto conto del fatto che nella propria policy la stessa BMG afferma che il sito e il gioco non sono rivolti ai bambini inferiori a 13 anni di età”). A sfavore delle rassicurazioni fornite dagli sviluppatori del gioco, si denota inoltre un livello di sicurezza non adeguato per trattare i dati di milioni di utenti stante l’utilizzo del prefisso “http”, indicante il vecchio protocollo di connessione, oramai considerato non più sicuro per la trasmissione dei dati personali.

Un altro attacco è stato subìto, invece, da Google e, più precisamente, dai prodotti dell’azienda muniti di tecnologia Chromecast incorporata. Due pirati informatici hanno preso il controllo dei dispositivi connessi, con l’intento di far girare il video del noto youtuber “PewDiePie”. L’azione in questione, denominata dai propri autori “CastHack”, ha avuto l’obiettivo di mostrare la vulnerabilità della smart home. Gli stessi hacker coinvolti hanno spiegato che, una volta individuati i dispositivi da “attaccare”, questi hanno cambiato il nome wifi del device e ne hanno assunto il controllo dando l’input di trasmettere il video in questione sulle smart Tv degli utenti connessi. Gli hacker che hanno rivendicato il descritto attacco hanno comunque assicurato che non utilizzeranno le informazioni di cui sono entrati in possesso.

L’ultima violazione dei dati personali in esame, probabilmente la più rilevante, ha colpito centinaia di politici tedeschi, tra cui la Cancelliera Angela Merkel, attraverso la sottrazione – e successiva ripubblicazione tramite un account Twitter – di mail, chat, dati personali, numeri di telefono, indirizzi e documenti privati degli utenti coinvolti. Oltre a colpire esponenti di quasi tutti i partiti rappresentati al Bundestag, il medesimo attacco ha coinvolto anche personaggi dello spettacolo, musicisti e giornalisti. Non è comunque ancora stato chiarito se queste mail contengano informazioni sensibili né ci sono conferme sulla veridicità dei dati pubblicati. Anche con riguardo ai responsabili si brancola nel buio.

Per quanto un’armonizzazione a livello intercontinentale sia ancora lontana, si auspica che episodi del genere divengano presto solo un ricordo e che vengano fronteggiati  adeguatamente mediante idonee misure di sicurezza al fine di garantire un’appropriata protezione inerente il trattamento dei dati sul web.

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.