26 Novembre 2020

Colpiti, tra gli altri, la presidenza del Consiglio dei ministri, il Comune di Roma, l’Università di Bologna e la Asl di Napoli. Rubati e rivenduti dati personali e password

È in corso un furto di dati su larga scala che colpisce istituzioni italiane e soggetti pubblici come la Presidenza del Consiglio dei Ministri, Roma Capitale, l’Università di Bologna, l’Azienda Sanitaria di Napoli e la Provincia di Bologna. Cyber criminali sono riusciti a introdursi nei loro sistemi, come anche di vari altri soggetti nel mondo: in tutto 49mila tra enti pubblici e aziende. Da qualche ora hanno anche cominciato a vendere sul dark web dati personali e credenziali di accesso alle reti di queste aziende e istituzioni; persino pubblicandoli su una chat Telegram. A lanciare l’allarme è la società specializzata in sicurezza informatica Yarix. E fonti istituzionali confermano a Repubblica il furto e la sua gravità.

Si sa anche come i criminali sono riusciti a introdursi nei sistemi delle vittime ed è un aggravante rispetto a quanto avvenuto: hanno sfruttato infatti una vulnerabilità informatica nota da molto tempo, già da maggio 2019. Da novembre 2019 era disponibile pure una soluzione al problema, ma i soggetti ora colpiti non l’hanno adottata. In particolare, è una vulnerabilità nei dispositivi FortiOS SSL VPN, di Fortinet. Le Vpn sono quei sistemi che consentono a dipendenti pubblici e privati di connettersi a distanza alle reti delle realtà dove lavorano. In smart working, ad esempio. Quest’attacco è l’ennesima conferma che i criminali stanno sfruttando il Covid-19 e le vulnerabilità dello smart working per mettere a segno nuovi e pericolosi attacchi, come denunciato anche nel rapporto Clusit (l’associazione della sicurezza informatica italiana) di novembre.

“Significa che per un anno – da quando la vulnerabilità è diventata di dominio pubblico – quelle realtà hanno lasciato che i loro sistemi fossero facile preda dei criminali”, spiega Luca Bechelli, del Clusit. “Un po’ come lasciare la porta di casa aperta, informandone anche i criminali”, aggiunge.

Già, perché funziona così: quando viene scoperta una vulnerabilità – ossia un modo per introdursi in una rete bypassandone le difese – i criminali ne sono subito al corrente. Aziende e pubbliche amministrazioni dovrebbero adottare presto le protezioni utili a coprire la falla. Adesso la situazione è ancora più grave, perché – come ha scoperto Yarix – è emersa anche la lista di tutti i soggetti che hanno dimenticato di adottare quelle protezioni e che quindi continuano ad avere “la porta aperta”.

Ieri sera, a quanto risulta, qualcuno ha utilizzato quella lista per provare a introdursi in tutte le reti delle istituzioni elencate. Ogni volta che ci riusciva, ha sfruttato l’accesso per rubare dati personali di dipendenti e password di accesso delle reti. Ha poi cominciato a vendere questi dati sulle darknet. I dati cominciano a essere pubblicati anche su Telegram, non è chiaro se da questo stesso criminale o da altri. Data la natura istituzionale di alcuni soggetti, è possibile che l’attacco e il furto possano avere ricadute sulla privacy di cittadini e la sicurezza generale degli stessi enti.

Fonte: Repubblica