Data breach Consorzio Unico Campania

Nascondi

Quella che segue è una trascrizione automatica dell'episodio.

Pensieri in codice. Idee dal mondo del software a cura di Valerio Galano. Salve a tutti e bentornati su Pensieri in codice. Quello di oggi è un episodio un po’ speciale che nasce dalla congiunzione di due eventi. Il primo è un fatto di cronaca che è accaduto qualche giorno fa e si tratta del Data Breach ai danni del Consorzio Unico Campania. Il secondo evento invece è rappresentato dal fatto che nell’ultimo mese o poco più ho recuperato più di 60 episodi delle vecchie stagioni di Data Nightmare e quindi diciamo che mi sento molto ispirato. Se non sapete cosa sia Data Nightmare, molto male. Si tratta di uno dei migliori secondo me podcast in circolazione a cura di Walter Vannini. Se non lo avete mai ascoltato vi lascio in descrizione il link al progetto, è assolutamente da recuperare. Ora prima di procedere ci tengo a precisare che la scelta di trattare questo argomento non dipende da una certa qual simpatia o antipatia verso la particolare società coinvolta ma semplicemente è un’occasione per esaminare un evento di questo genere e quale è stata la successiva reazione da parte di un’azienda di dimensioni considerevoli. Cerchiamo quindi di analizzare al meglio le poche informazioni disponibili al momento e soprattutto proviamo a leggere tra le righe. Il giorno 19 agosto 2020, alle 12 circa, il sito fanpage.it pubblica un articolo che titola in questo modo. Unico Campania ha creato il sito 160.000 email e password di utenti in rete fra virgolette subito disattivati. Ok ora innanzitutto da una rapida occhiata allo slug cioè all’indirizzo web dell’articolo si nota immediatamente che il titolo originale parlava di 65.000 email e password e poi è stato modificato in 165.000. Questo di per sé non vale molto però ci fa capire che c’è stata un po’ di confusione e una certa qualcorsa alla pubblicazione della notizia ma lasciamo perdere. Nell’articolo si legge, aperte virgolette, dati sensibili privati alla merced di tutti. Il file con le password e le email sta circolando in queste ore sulla rete, chiuse virgolette. Appare quindi subito chiaro che ci sia stato quello che il GDPR definisce un data breach. Tuttavia leggendo un po’ più a fondo si può anche apprendere che, cito testualmente, la macchina della sicurezza è già scattata e poi sempre secondo fan page dalla società spiegano che, aperte virgolette, già ora non è più possibile accedere agli account con quelle password. Si tratta di dati che comunque erano insufficienti ad entrare nelle posizioni personali. Ora se ci fermiamo un attimo a riflettere già questa prima ricostruzione suona un po’ strana. Nella frase prima si dice che non è possibile accedere con quelle password e poi nella frase subito dopo si ribadisce che comunque non erano sufficienti per entrare nei profili. Quindi in realtà a che servono queste password? Ma le frasi successive dell’articolo sono ancora più confuse. Scrive infatti il giornalista. Il consiglio agli utenti, anche se il consorzio unico campania ha già disattivato le password, è comunque quello di cambiarle. E ok, qui da tecnico la domanda mi sorge spontanea e dovrebbe essere lo stesso per chiunque abbia mai utilizzato un servizio web protetto da password. Infatti se le password sono state disattivate come posso io non cambiarle? Cioè se le hanno disattivate mi aspetto di non potermi più autenticare con quelle password e allora l’unico modo di autenticarmi dovrebbe essere quello di utilizzare la procedura di recupero password e in tal caso è la procedura stessa che dovrebbe impormi il cambio di password. No? Non funziona così la loro procedura di recupero password? Ma andiamo avanti. L’articolo conclude poi il primo paragrafo con, cito testualmente, capita spesso infatti che si usino sempre le stesse password anche per diversi profili. Non è escluso che l’attacco hacker possa risalire a diversi giorni fa, anche forse mesi. Fine citazione. E finalmente ecco qui un seppur timido accenno a quello che è il vero problema. Cioè che sarà pur vero che unico campania ha bloccato l’accesso ai propri sistemi con le credenziali rubate, ma in realtà il danno è ben più grave per gli utenti coinvolti, perché ora chiunque sia entrato in possesso di questa lista di credenziali può, o forse ha potuto per mesi, accedere ad altri servizi ai quali tutti gli utenti accedevano con quelle stesse credenziali. Se insomma qualche utente utilizzava la stessa password per accedere al sito di unico campania e a quello della propria posta elettronica, allora chi ha ottenuto il file delle email e password perso dal consorzio ha avuto libero accesso anche alla mail di tali utenti. Tra l’altro per un tempo imprecisato. Bello eh? Ma andiamo avanti. Il secondo paragrafo è sostanzialmente una dichiarazione del consorzio unico campania che fanpage afferma di aver contattato nella quale si ribadisce quanto siano stati veloci ad attivarsi per far fronte a questo problema. Leggo con qualche omissis ma trovate in descrizione il link all’articolo completo. Aperte virgolette stiamo facendo delle verifiche, non è possibile entrare in pagine personali degli utenti, al momento non ci risultano violazioni se non l’acquisizione di questi dati di password e in ogni caso non sono sufficienti ad accedere a qualunque posizione personale. Peraltro sono funzionalità che abbiamo già neutralizzato, le password sono state azzerate, gli utenti già non possono più accedere con quelle password. Fine citazione. Ok al netto della confusione nell’ordine delle varie affermazioni tradotto un po’ così a naso a me sembra di leggere qualcosa del genere. Stiamo verificando però per ora ci siamo solo persi 160 mila email e password che in realtà però non servivano per accedere ai nostri servizi e tuttavia abbiamo comunque deciso di azzerare tutte quelle password degli account collegati. Ora a me sembra un po’ sospetto e a voi? Cioè se le password trafugate non servono per accedere ai profili allora perché azzerarle e soprattutto quali profili hanno azzerato se non corrispondono a profili effettivamente raggiungibili? Fortunatamente però dopo qualche ora sul sito ufficiale di UnicoCampania appare un comunicato ufficiale sempre datato 19 agosto che ha certamente lo scopo di chiarire la situazione e rassicurare le centinaia di utenti che nel frattempo si sono scatenati sulla pagina facebook del consorzio. Tale comunicato recita aperte virgolette comunicazione agli utenti scriviamo per rassicurare sulle notizie che stanno circolando nelle ultime ore in merito al presunto attacco informatico che avrebbe colpito alcuni degli utenti del consorzio unico campania chiuse virgolette e già qui direi che l’attacco in realtà non è poi molto presunto e in ogni caso non ha colpito gli utenti del consorzio unico campania ha colpito proprio il consorzio secondo me ma procediamo aperte virgolette a tal proposito vogliamo ricordare che la protezione dei dati personali è sempre una nostra priorità alla quale dedichiamo tempo e risorse con l’obiettivo di fornire un servizio costantemente efficiente e sicuro e risponderemo tempestivamente a ogni possibile evenienza chiuse virgolette e di questo come dire noi utenti ringraziamo sulla fiducia e in realtà lasciatemi anche dire che senza ironia un errore può capitare a chiunque riapriamo virgolette infatti non appena abbiamo avuto conoscenza della vicenda siamo intervenuti immediatamente coinvolgendo le competenti funzioni aziendali oltre ai nostri consulenti specializzati in materia per acquisire tutte le informazioni utili a ricostruire la vicenda e agire di conseguenza nel minor tempo possibile tutta questa frase può essere tradotta come stiamo verificando e in realtà questo mi sembra chiaro e il minimo dovuto sempre dal comunicato al riguardo riteniamo opportuno comunicare sin da ora che tale piattaforma non è più in uso da alcuni anni ed è stata ormai dismessa eliminando nel contenuto informativo già a partire dall’anno 2018 abbiamo adottato una nuova piattaforma dotata di meccanismi di autenticazione e di sicurezza ancora più avanzati per proteggere i dati personali dei nostri utenti chiuse virgolette oh bene quindi la nuova piattaforma è più sicura della vecchia e visto l’accaduto mi viene da dire che sarebbe il minimo ma il dubbio resta dismessa vuol dire rimossa dal web o semplicemente abbandonata a se stessa e poi che senso ha rimuovere il contenuto informativo e lasciare i dati di accesso e a questo proposito sempre nel comunicato si legge di conseguenza sulla base delle informazioni disponibili confermiamo che le credenziali diffuse si riferiscono esclusivamente alla vecchia piattaforma e non possono essere utilizzate per accedere alla nuova piattaforma online del consorzio che pertanto resta perfettamente sicura e funzionante fine citazione perfetto ora io non so cosa sia stato fatto nel 2018 quando si è passati dalla vecchia alla nuova piattaforma ma da sviluppatore mi sento almeno di azzardare l’ipotesi che nel passaggio le vecchie utenze siano state travasate nella nuova piattaforma così da evitare a tutti gli utilizzatori già iscritti di doversi iscrivere nuovamente magari questo me lo può confermare qualcuno di voi che state ascoltando e che all’epoca era già iscritto alla vecchia piattaforma ma se la mia ipotesi dovesse corrispondere a realtà diciamo così non è possibile che alcune o addirittura io direi molte delle vecchie password essendo state travasate ora corrispondano esattamente alle nuove voglio dire sappiamo bene che molti utenti non cambiano le password molto spesso anzi si potrebbe dire quasi mai e quindi non ci sarebbe da stupirsi se nel 2020 per un dato servizio utilizzassero le stesse password che utilizzavano che so nel 2017 qualcuno potrebbe obiettare che nella nuova piattaforma ci sia autentica con il codice fiscale e non con la mail che è stata trafugata in questo data breach ma diciamocela tutta quanto ci vuole a calcolare il codice fiscale di qualcuno alla fine basta chiedergli l’amicizia su facebook scoprire nome cognome data di nascita dai post di auguri sul profilo e infine scoprire il comune di nascita provando a validare il codice fiscale sul sito dell’agenzia delle entrate magari non è proprio un processo automatico ma se c’è interesse a fare un danno a qualcuno con un po di impegno si riesce tranquillamente a entrare nel suo profilo ad ogni modo il comunicato prosegue affermando che sia le app che le campagne di abbonamento sono sicure e non verranno intaccate da questo problema e noi questo non lo mettiamo in dubbio e poi conclude con aperte virgolette in ogni caso come buona prassi ricordiamo che è sempre opportuno modificare periodicamente le credenziali di accesso e o di autenticazione ad ogni sistema informatico applicativo compresa la piattaforma del consorzio così da minimizzare i possibili rischi connessi ad accessi non autorizzati chiuse virgolette qui sinceramente non posso non essere d’accordo in pieno con questa affermazione anche se direi che evitare di perdersi database con le password in giro per il web magari anche aiuterebbe in ultimo vale la pena di notare che sempre il 19 agosto inserata alla pagina facebook del consorzio unico campania pubblicava un post in cui affermava che cito testualmente in merito alla pubblicazione delle mail e password di accesso alla piattaforma abbonamenti il consorzio unico campania precisa che si tratta di dati di archiviazione delle pregresse campagne 2016 e 2017 e che gli stessi dati erano criptati all’interno dei database chiuse virgolette si è scelto quindi di usare un altro canale ma sempre ufficiale per dare una versione leggermente diversa in cui si parla di dati criptati all’interno di un database così giusto per confondere un po di più le idee ad oggi domenica 30 agosto giorno in cui sto registrando non ho trovato altre informazioni ufficiali anche se potete divertirvi ad andare a leggere le centinaia di messaggi di utenti infuriati sulla pagina facebook del consorzio una cosa però secondo me è interessante e cioè che su twitter lo stesso giorno dei comunicati cioè il 19 agosto è comparso un tweet di gabriel 89 chiaramente esperto di informatica con allegata un’immagine che testimonierebbe il fatto che queste 166.184 coppie di mail e password sarebbero già disponibili sui forum specializzati da gennaio del 2020 se questa informazione fosse vera ciò smentirebbe la dichiarazione ufficiale che il file stesse circolando in queste ore mentre in realtà sarebbe online già da otto mesi ad ogni modo quello che è certo è che un qualche tipo di data bridge c’è stato e come e qualsiasi siano le dichiarazioni di unico campania qui siamo nel territorio del garante per la protezione dei dati personali e sicuramente è a lui che spetterà l’ultima parola sulla questione il consorzio unico campania può infatti mettere in campo tutti i consulenti e gli esperti che vuole ma alla fine quello che ci dirà veramente come sono andate le cose sarà l’indagine del nucleo antifrodi telematiche e privacy della guardia di finanza per ora direi quindi che noi ci possiamo fermare qui tutte le fonti citate le trovate in descrizione se dovessero esserci novità magari ne riparleremo nel frattempo io vi saluto e mi raccomando usate password diverse per tutti i vari servizi cambiatele spesso e non dimenticate che un informatico risolve problemi a volte anche usando il computer

Nascondi