La notizia di questi giorni è che il gruppo criminale Everest ha colpito la SIAE ed è riuscito ad impossessarsi di circa 60GB di dati personali degli iscritti, come “passaporti, patenti, documenti di pagamento, conti bancari, carte di credito e altri dati degli utenti” per i quali ha chiesto un riscatto di 3 milioni di euro in Bitcoin.
Mentre la notizia cominciava a diffondersi e SIAE a fornire le prime dichiarazioni, i primi 2 giga di dati erano già stati pubblicati e scaricabili online.
Nel frattempo, il Direttore Generale di SIAE ha dichiarato al Tg1:
“Per fortuna non sembrerebbero esserci dati economici relativi ad IBAN bancari, solo dati anagrafici, come carte d’identità, codici fiscali, e dati di molti nostri dipendenti.”
Premesso che in seguito è stata confermata anche l’esfiltrazione di dati bancari, riteniamo che questa dichiarazione sia molto pericolosa, perché trasmette il concetto che un furto di dati personali non bancari sia un problema tutto sommato marginale.
Oltre ad essere indicativa di scarsa consapevolezza del valore e del quadro normativo legato al trattamento dati, non tiene infatti conto della pericolosità di tutti quegli attacchi rivolti direttamente agli interessati che possono essere portati a termine grazie al possesso stesso dei loro dati, quali ad esempio phishing mirato oppure truffe o reati in genere a danno degli interessati o di terzi.
Non a caso, a seguito al rifiuto di SIAE di pagare il riscatto, il gruppo criminale ha messo in vendita pubblicamente il pacchetto di dati per 500 mila euro rendendolo di fatto accessibile al crimine informatico mondiale.
Un altro aspetto rilevante è che questa dichiarazione sembra ignorare la responsabilità dell’ente in relazione alla violazione di dati personali, richiesta dal Regolamento Europeo 2016/679 (GDPR), ed alle misure si sarebbero dovute implementare a loro protezione.
Una riflessione importante da fare a riguardo è che la vera vittima dell’attacco in questo caso non è SIAE, ma tutti gli iscritti i cui dati sono e saranno diffusi, esponendoli a rischi non facilmente quantificabili.
Si pensi ad esempio al fatto che, a quanto pare, nell’archivio dei dati vi fossero anche brani inediti, che, se diffusi, si tradurrebbero in notevoli perdite economiche per gli artisti coinvolti.
Infatti, come prevedibile, i singoli utenti hanno iniziato quasi subito ad essere contattati.
Sono già diversi gli artisti che hanno ricevuto richieste di riscatto di 10 mila euro per ottenere la cancellazione di propri dati. E altri hanno ricostruito di aver ricevuto attacchi di phishing nelle scorse settimane, anche attraverso telefonate in cui veniva chiesto di inserire le proprie credenziali SIAE in una pagina web.
Non è confermato quali siano state le modalità di intrusione, ma il Direttore Blandini ha dichiarato:
“È venuto fuori che effettivamente hanno acquisito delle password che servono per entrare nel cuore dei nostri sistemi informativi […]”
Posto che un sistema protetto, come dovrebbe esserlo quello di un ente come SIAE, non dovrebbe essere accessibile mediante l’utilizzo di sole password, ci chiediamo come queste possano essere state trafugate.
Un utente potrebbe verosimilmente aver “abboccato” ad attività di phishing – la stessa SIAE aveva segnalato di esserne stata vittima nelle scorse settimane – oppure le password potrebbero non essere state protette adeguatamente.
Nonostante la richiesta di riscatto, non è neanche confermato che si tratti di un attacco ransomware e, se lo fosse, sarebbe abbastanza desueto.
Solitamente il primo passo di un attacco ransomware prevede infatti la cifratura dei dati e quindi la loro inaccessibilità da parte del proprietario. Solo in seguito l’attacco prosegue con la richiesta di riscatto, spesso affiancata dalla minaccia di diffusione dei dati stessi quale “rafforzativo” alle motivazioni di pagamento del riscatto.
In questo caso i dati non sono stati cifrati.
La minaccia di diffusione è stata l’unico argomento utilizzato dagli attaccanti per l’ottenimento del riscatto.
Può darsi che la tipologia di dati e di soggetti coinvolti rendesse più profittevole per il gruppo criminale la minaccia di diffusione piuttosto che il blocco operativo derivante dall’indisponibilità dei dati, resta il fatto che la cifratura pare non essere avvenuta.
A riguardo, una possibile chiave di lettura, potrebbe essere quella proposta da RedHotCyber, che ha intervistato Everest, il gruppo che ha effettuato l’attacco. Nell’intervista Everest sostiene, appunto, di non aver utilizzato ransomware, ma di aver svolto un penetration test – non autorizzato, ovviamente – e, una volta riscontrati scarsi livelli di sicurezza, deciso di proseguire con l’attacco.
Quanto riportato nell’articolo è una ricostruzione plausibile e, analogamente alle altre, riporta inevitabilmente l’attenzione sul punto in cui gli attacchi informatici ad organizzazioni di ogni natura e dimensione si susseguono sempre più frequentemente.
Quando a subire l’attacco è un’azienda “famosa”, le notizie ottengono un ampio risalto mediatico, quando le vittime sono più piccole e meno famose, il tutto resta in sordina.
Certo è che oggi tutte le aziende devono impegnarsi a proteggere il proprio patrimonio digitale.
A tal fine consigliamo di effettuare verifiche periodiche dei livelli di sicurezza di sistemi e software e di implementare sistemi di monitoraggio delle attività e di notifica degli eventi di sicurezza.
Inoltre, consigliamo di ricordare sempre che le implementazioni tecniche a salvaguardia della sicurezza saranno sempre insufficienti in assenza di formazione e addestramento relativi al phishing, alle tecniche di ingegneria sociale e alle modalità di lavoro in sicurezza e pertanto di provvedere ad erogare formazione mirata in materia di cybersecurity awareness a tutto il personale operativo.