Di seguito riportiamo i più importanti attacchi Cyber del 2018 a livello internazionale e italiano.
Gli attacchi internazionali:
- Panera. Un attacco che ha visto 37 milioni di vittime ovvero tutti gli account cliente PaneraBread.com. Nomi, e-mail e indirizzi fisici, compleanni e le ultime quattro cifre dei numeri di carta di credito dei clienti sono stati infatti esposti e rivelati nell’aprile del 2018. Il caso è stato particolarmente singolare perché già in un primo momento un esperto aveva notato incongruenze nel sistema avvisando la società di una importante esfliltrazione dei dati presumibilmente dall’agosto del 2017. Nonostante l’avvertimento, Panera non ha agito e 8 mesi dopo ha annunciato l’ingente sottrazione di dati interrompendo il servizio e mettendo in manutenzione il proprio sito con evidenti conseguenze economiche per la propria azienda.
- Il caso Facebook – Cambridge Analytica. Probabilmente il più famoso degli attacchi a livello mediatico ma non di certo meno grave degli altri. Circa 87 milioni di utenti infatti sono stati esposti ad un attacco che ha riscosso come bottino un importante bagaglio informativo tale da credere di essere stato uno strumento la manipolazione dei mercati e di alcune elezioni politiche internazionali. Nel settembre 2018 infatti informazioni di profilo personali, credenze politiche, reti di amici, messaggi privati sono stati acquisiti da Cambridge Analytica che ha raccolto illegalmente le informazioni degli utenti senza il loro permesso. La violazione è avvenuta un paio di anni fa e solo oggi si conosce la vera portata dell’increscioso fenomeno.
- Newegg. Non troppo conosciuta ma ha interessato 50 milioni di carte di credito tra l’agosto e il settembre 2018. La Newegg è infatti una società di e-commerce il cui sito è stato hackerato da cybergang Magecart che iniettando un codice per carte di credito, ogni qual volta veniva acquistato qualcosa online, otteneva tutte le informazioni di pagamento che venivano inoltrate direttamente al centro di controllo e comando (C & C )di Magecart stessa.
- Elasticsearch. Anche questa violazione ha avuto una discreta risonanza a livello internazionale poiché ha interessato molte aziende. In particolare 57 milioni di consumatori, 26 milioni di aziende per un totale di 82 milioni di vittime. Anche qui il bottino è di milioni di dati dei singoli utenti: nomi, indirizzi email e fisici, numeri di telefono, indirizzi IP, datori di lavoro e titoli di lavoro. Dalle aziende: nomi, dettagli aziendali, codici postali, rotte dei vettori, latitudini / longitudini, tratti di censimento, numeri di telefono, indirizzi Web, indirizzi e-mail, numero di dipendenti, numeri di entrate, codici NAICS, codici SIC e altro. Come nel caso di Panera la vulnerabilità del sistema era stata rilevata da un ricercatore che ha evidenziato la registrazione sospetta di 80 milioni di account. Tuttavia non si sa per quanto tempo i database sono stati esposti e rimasti incustoditi. Dalle indagini svolte si pensa che la responsabilità ricada in capo ad una azienda terza che collaborava con la titolare e che non ha applicato i protocolli di sicurezza idonei a garantire una protezione adeguata.
- MyHeritage. Anche qui il numero non è secondario. 92 milioni di vittime. Nel giungo del 2018 account, indirizzi email e password hash sono stati oggetto di una vera e propria “strage di password”. La società infatti ha comunicato ai propri utenti, titolari di account che hanno effettuato la registrazione al portale prima del 26 ottobre 2017, che erano esposti a un importante rischio e dovevano quindi modificare le loro password.
- Quora. 92 Ben 100 milioni di vittime. I dati esflitrati sempre i soliti: nomi, indirizzi email, password hash, dati del profilo, azioni pubbliche e non pubbliche. Scoperto solo nel dicembre 2018 la società ha mantenuto un riserbo decisamente vago, limitandosi a dichiarare che una terza parte ha ottenuto l’accesso non autorizzato a uno dei propri sistemi.
- British Airways. Anche questa mediaticamente una delle piu importanti. La compagnia aerea britannica ha subito il furto dei dati di 380mila clienti, con informazioni che comprendono nome, numero di telefono, indirizzo e dati di pagamento. I clienti coinvolti sono stati contattati direttamente dall’azienda.
- Cathay Pacific. Il numero di account compromessi sale a 9,6 milioni nel caso di Cathay Pacific, compagnia aerea che si guadagnò gli onori della cronaca lo scorso 25 ottobre. Anche in questo caso sono stati trafugati dati di identificazione, oltre che informazioni sui viaggi effettuati. Le carte di credito dovrebbero essere rimaste al sicuro, ma ad oggi ancora non si ha la completa certezza della loro sicurezza.
- Google+ ha fatto parlare di sé in ben due diverse occasioni. La prima per l’esposizione di 500mila account, la seconda ben piu grave per un totale di 52,5 milioni account esposti. In entrambi i casi si è trattato di bug i cui effetti negativi sembrano essere solo potenziali, ma l’azienda ha fatto sapere in entrambi i casi di non aver trovato segni di furto o abusi. Non che sia una garanzia totale, ma è meglio di niente. Google ha deciso di chiudere il social network.
- La catena alberghiera Marriott Hotel. La notizia è solo di qualche settimana fa: la catena Marriot si è fatta rubare i dati di 500 milioni di persone, che si erano registrate ai servizi della sua controllata Starwood. I dati rubati sono particolarmente sensibili e includono anche le carte di credito, ma non è tutto. Secondo il New York Times infatti si tratta di un’operazione sponsorizzata dal governo cinese.
- Under Armour. Anche in questo particolare caso il numero non è di secondo piano. Si parla di 150 milioni di vittime dell’app di MyFitnessPal nel periodo di Febbraio – Marzo 2018. Il furto ha riguardato l’app di cibo e nutrizione dell’azienda, aprendo a informazioni sensibili agli ma non a informazioni di pagamento.
- Exactis Nel giugno 2018 infatti ben 230 milioni di consumatori e 110 milioni di imprese sono state le vittime. La società di raccolta dati Exactis in qualche modo ha trasferito 2 terabyte di dati di numeri di telefono, e-mail e indirizzi fisici, interessi, età, religioni, proprietà di animali domestici, ecc. su un sito pubblico affinché tutti possano vederli. Non si sa chi o quante persone abbiano avuto accesso alle informazioni prima che venissero scoperte.
- Starwood. 500 milioni. Basterebbe il numero delle vittime per far parlare di se ma non ha avuto molto risalto in Italia. Scoperto solo il 10 settembre 2018 potrebbe essersi protratto dal 2014 avendo come oggetto dell’attacco il sito della rinomata società con furto di nomi, indirizzi email e fisici, numeri di telefono, numeri di passaporto, informazioni sull’account, date di nascita, sesso, informazioni di viaggio e informazioni sull’alloggio. Alcune delle informazioni violate includevano anche informazioni sulla carta di credito con hash.
- Aadhaar Al primo posto in termini numerici abbiamo una società indiana: Aadhaar con un bilancio di 1,1 miliardi di account violati. Sembrerebbe che tra l’agosto 2017 e gennaio 2018 informazioni private sui residenti indiani, inclusi nomi, loro numeri ID di 12 cifre e informazioni su servizi connessi come conti bancari siano stati sottratti. il database ID del governo indiano, che memorizza l’identità dei cittadini e le informazioni biometriche, ha avuto “una fuga di dati su un sistema gestito da una società di servizi statali di nome Indane”. Indane non aveva protetto la propria API (application programming interface), che è utilizzata per accedere al database generale e che ha dato a chiunque l’accesso alle informazioni di Aadhaar.
Il sistema italiano invece non sembra essere stato diversamente immune agli attacchi. Ecco alcuni dei casi più importanti e conosciuti che hanno interessato l’intera nazionale e alcune aziende. A differenza di molte notizie di cronaca tuttavia è da sottolineare il pregevole operato di alcune di queste aziende che, avendo adottato importanti contromisure, hanno contribuito a mitigare i danni subiti rendendo gli stessi attacchi non efficaci.
Gli attacchi informatici in Italia infatti nel solo mese di maggio hanno toccato la soglia di 140 al giorno andando ad aumentare negli ultimi mesi dell’anno.
- Nel marzo 2018 e ottobre un gruppo hacker denominato LulzSecITA e AntiSecurity ITA ha pubblicato sul proprio portale migliaia di indirizzi di posta elettronica di scuole e insegnanti. In seguito alle verifiche effettuate dagli uffici competenti del Ministero dell’Istruzione, dell’Università e della Ricerca, veniva precisato quanto segue: “I dati pubblicati non sono riconducibili a componenti dei sistemi informatici del MIUR, gestiti dalle società Almaviva-Fastweb e DXC-Leonardo. In particolare, non sono stati trafugati dati dai sistemi che gestiscono l’accesso alle caselle del dominio @it. Da un controllo effettuato sugli indirizzi @istruzione.itpresenti nei dati pubblicati risulta che su 6.163 indirizzi email: 4.565 non sono attivi; 1.598 sono attivi”.
- La settimana nera di Anonymous Italia. Gli attacchi, suddivisi, pubblicati e rivendicati nella prima settimana di novembre ( proprio nella settimana in cui si celebra Guy Fawkes negli UK divenuto personaggio di culto dopo l’uscita del fumetto e dell’omonimo film V per Vendetta) probabilmente sono il frutto di un lavoro pianificato e operato, secondo esperti, da diverso tempo. Gli attivisti, cosi si definiscono, hanno messo online: dati, nomi, cognomi, email, password e numeri di telefono di dipendenti di diversi istituti del Cnr, alcuni database del ministero dello Sviluppo economico di Equitalia – la controllata del ministero dell’Economia – , del sistema informativo degli Archivi di Stato e dati personali di tesserati alla Lega Nord, di Fratelli d’Italia e del Pd e altri dati contenuti dell’Archivio di Stato di Palermo e dell’Associazione Polizia di Stato (Assopolizia), dati personali di Università e centri di formazione, dati di una importante multinazionale dell’acqua in bottiglia. Insomma una compromissione che ha visto l’Italia totalmente impotente.
- Sempre lo stesso collettivo di hacker, Anonymous, ha preso di mira istituzioni pubbliche e istituti di ricerca. Probabilmente l’attacco più imponente e importante che l’intera infrastruttura nazionale abbia mai subito. Il 22 Novembre i giornali titolavano cosi: “Una vulnerabilità nei server Telecom che gestiscono migliaia di PEC di magistrati e i servizi telematici dei tribunali ha messo in ginocchio l’intera giustizia civile italiana. 500 mila pec violate, anche di diversi ministeri. Baldoni (DIS): “Cambiate le password”.” Gli identificativi Pec di 98.000 utenti tra magistrati, militari e funzionari del Cisr, il Comitato Interministeriale per la sicurezza della Repubblica che comprende appunto i ministeri della Giustizia, degli Interni, della Difesa, degli Esteri, dell’Economia e dello Sviluppo Economico, la stessa Presidenza del consiglio dei ministri e dell’Autorità delegata sono stati oggetto di un gravissimo attacco informatico. L’attacco come riportato da Baldoni sembrerebbe non sia partito dall’Italia.
- La Sanità ha avuto altrettanti problemi: ben dieci enti del sistema sanitario, fra cui le ASL di Rieti e Viterbo, sui cui siti è comparsa una foto che ritrae una “rivisitazione” in chiave politica del presepe di cristiana memoria, l’Istituto superiore di sanità, l’Agenzia Nazionale per i servizi sanitari Regionali (Agenas), Federfarma, l’ospedale San Giovanni di Roma, Difarma (azienda che si occupa della distribuzione di prodotti farmaceutici), l’ASL di Caserta, l’azienda sanitaria lariana (operativa nell’area del lago di Como) e l’unità sanitaria locale di Legnano (Milano) hanno subito un importantissimo attacco cyber che ha esposto milioni di dati.
In termini economici non sono state fatte stime di danno ma si ipotizza siano di diversi milioni. - Saipem. “Assalto hacker a 400 server, soprattutto in Arabia Saudita. L’azienda: pronti a un’operazione di recupero delle informazioni”. L’attacco ha colpito i server basati nel Middle East, India, Aberdeen e, in modo limitato, l’Italia con i server dell’azienda petrolifera negli Emirati Arabi Uniti e in Arabia Saudita, attraverso una variante del malware chiamato Shamoon. L’azienda con un comunicato pubblico ha dichiarato che i server interessati non hanno subito perdite di dati a fronte dell’attacco, permettendo cosi alla Saipem di procedere con al ripristino dei backup dei propri sistemi compromessi.
- Sventato un attacco hacker ad aziende nazionali del settore automobilistico a quattro e due ruote. Due società di cybersecurity, incaricate come analiste del fenomeno lo hanno denominato ROMA225, un nome alquanto singolare per un malware che stava per rovinare le festività natalizie alle due aziende italiane. Nonostante sia riuscito addirittura, a passare indenne controlli di altre aziende di cybersecurity, fortunatamente il malware è stato smascherato prima che potesse infettare tutti i sistemi informatici.
- Una famosa Banca è stata attaccata da sconosciuti il 21 ottobre 2018. Gli hacker hanno tentato di forzare il sistema online di home banking tentando di violare ben 6.859 account (codice identificativo del cliente) e REB (codice di identificazione per l’accesso al servizio Multi-channel Bank). L’attacco è stato prontamente intercettato e bloccato e l’incidente è stato chiuso e terminato. L’evento è stato notificato all’Autorità Garante della Privacy che “ha ordinato di contattare tutte le parti interessate”. Pochi giorni fa, il termine di 30 giorni utile per la notifica è scaduto e la società assicura che attualmente è implementato “un meccanismo per forzare gli utenti all’uso di password complesse”.
Le vulnerabilità di nuovi dispositivi, in particolare IoT e dispositivi domotici, potrebbero essere soggetti a potenziali e specifici attacchi informatici (ad esempio Alexa, Google Mini).
La creazione di reti dedicate di criptomining sarà un altro problema da affrontare.
L’immagine sopra delineata è ovviamente e costantemente legata al tema della privacy e la protezione dei dati delle nuove e rigide regole sui pagamenti PSD2, delle nuove strategie Blockchain e dai servizi cloud.
È ora necessario chiedersi se le aziende e le più importanti infrastrutture, amministrazioni e governi nazionali e internazionali sono pronti a implementare efficacemente le loro architetture di sicurezza per prevenire queste nuove minacce.
Citando il famoso “Cicerone britannico” Edmund Burke “” Early and provident fear is the mother of safety (1792) because in that state of things the mind is firm and collected, and the judgment unembarrassed. But when the fear and the evil feared come on together, and press at once upon us, deliberation itself is ruinous, which saves upon all other occasions; because, when perils are instant, it delays decision; the man is in a flutter, and in a hurry, and his judgment is gone “;
La costante paura degli improvvisi progressi compiuti nel cyberwar da hacker e attivisti, protagonisti di una guerra sempre più asimmetrica, dovrebbe stimolare l’innovazione e il progresso tecnologico sia in termini di sicurezza del sistema che di ricerca scientifica. È quindi necessario che le aziende e intere nazioni investano sulla cibersicurezza. Il progresso tecnologico nel mondo cibernetico deve diventare una priorità fondamentale e importanti investimenti devono essere fatti in tema di prevenzione al fine mitigare danni collaterali che possono mettere in ginocchio l’intera economia nazionale e internazionale.
Marco Fiore