Fine
anno.
Momenti di riflessione e anche di stacco, sia pur breve, dalla
quotidianità. Sciando tra le splendide montagne della Val Badia, mi
trovo a ricordare le canzoni della mia adolescenza e tra queste mi
tornano alla mente queste strofe:
“O
giorni o mesi che andate sempre via, sempre simili a voi è questa
vita mia, diversa tutti gli anni e tutti gli anni uguale, la mano di
tarocchi che non sai mai giocare, che non sai mai giocare”.
Molti
lettori, forse, la ricorderanno. Si tratta della bellissima canzone,
anzi, poesia mi verrebbe da dire, di Francesco Guccini: La
canzone dei dodici mesi, incredibilmente adatta a questi
giorni. E, così, canticchiando tra me e me, con il rumore degli sci
sotto i piedi e il bianco che ammanta queste magnifiche montagne, mi
passano davanti agli occhi le immagini di questo 2019 che ci sta per
lasciare.
Greta
Thunberg, la sedicenne svedese attivista green, non ha fatto mancare
il suo grido di dolore per la selva in fiamme, mentre in barca a vela
(obiettivo emissioni zero), solcava l’oceano, dal Regno Unito agli
Usa, per partecipare al summit delle Nazioni Unite sui cambiamenti
climatici.
Donne
protagoniste quest’anno anche nello spazio. Due astronaute
statunitensi sono entrate nella storia dopo aver effettuato la prima
passeggiata fra le stelle tutta al femminile. Scendendo a Terra, il
2019 ha visto la governatrice di Hong Kong, Carrie Lam, reprimere nel
sangue le proteste degli studenti universitari. Finora è riuscita a
tenersi stretta la poltrona, quella che, invece, rischia di perdere
il presidente degli Stati Uniti, Donald Trump, finito sotto
impeachment a causa dell’Ucraina gate. Festa grande nella casa
reale britannica per la nascita di Archie, il primogenito dei duchi
di Sussex, Harry e Meghan. Con loro ha gioito l’intera Inghilterra,
colpita da un secondo attentato islamista sul London Bridge dopo
quello del 2017. Tre le vittime, compreso l’attentatore. Ben più
pesante la conta dei morti in Nuova Zelanda, dove a marzo uno
sparatore neofascista ha assaltato due moschee. Cinquantuno le vite
umane spezzate.
Come
sempre, quindi, la fine di ogni anno è il momento ideale per
guardarsi indietro, per tirare le somme, per fare un’analisi di
quanto accaduto, per sapere cosa ci siamo lasciati alle spalle e cosa
ci riserverà il futuro. Tante cose sono cambiate e tante sono
accadute ma ce n’è una che, al contrario di molte altre, rimane
una costante, sempre più duratura, eterna, oserei dire. Un qualcosa
verso cui l’essere umano, pur prendendone sempre più
consapevolezza, sembra non riuscire a trovare le armi giuste per
conoscerla nel profondo, per riuscire a farle fronte e per evitare
che si diffonda come la peggiore delle epidemie. Di che cosa si
tratta vi chiederete, magari incuriositi, magari spettatori un po'
distratti oppure operatori del settore alle prese con gli effetti di
questa malattia da cui pare non si riesca a guarire. Il suo nome è
cyber security o, meglio, “cyber insecurity”
visto quello che anche il 2019 ci ha riservato. È un po' come nella
canzone di Guccini: “diversa tutti gli anni ma tutti gli anni
uguale” e per usare un titolo ad effetto, tanto più che in
lingua inglese, potremmo scrivere:“Biggest data breaches of
2019: Same mistakes, different year”
A
questo punto mi sono detto: “Perché non provare a realizzare un
calendario il cui protagonista non è una bellissima modella o un
quadro d’autore o una meravigliosa fotografia?” Ed eccolo qui il
“2019 Data Breach Calendar”, ossia il calendario dei data
breach più significativi che hanno caratterizzato il 2019, divisi,
rigorosamente, per mese.
Prima
di scorrere l’album dei ricordi 😊, però, cominciamo col dire
che il motivo ricorrente tra le principali violazioni dei dati del
2019 non è stato l'hacker incappucciato, immaginato in una stanza
buia con davanti un terminale che riflette scritte verdi. No. Niente
di tutto ciò. Se credete questo, siete dei poveri illusi. Il motivo
ricorrente, invece, è stato l’insieme di dirigenti senza volto e
l’insieme dei professionisti della sicurezza, posti sotto le luci
fluorescenti di un ufficio sito da qualche parte che, freneticamente,
parlottano con i loro avvocati al fine di redigere una qualche scusa
pubblica dopo essersi accorti di avere subito una violazione.
Parole
come "database non protetto" si sono ripetute come un
ritornello nel corso del 2019. Ogni mese, una nuova società chiedeva
ai propri clienti di modificare le password e di segnalare eventuali
danni. Aziende appartenenti ai settori della sanità,
dell'ospitalità, del governo, dei mercati energetico e petrolifero e
di tante altre aree dell’industria pubblica e privata, hanno
lasciato non protetti i dati sensibili dei propri clienti, nelle
“selvagge terre di Internet”. Dati che sono stati acquistati e
venduti da hacker i quali non hanno nemmeno dovuto fare grandi sforzi
per trovarli.
E
non si tratta, soltanto, del risultato che una copertura mediatica
maniacale ha messo in evidenza. Purtroppo, i dati sono lì a
testimoniare il fatto che, nel 2019, il numero totale di violazioni è
aumentato del 33% rispetto al 2018, secondo una ricerca di Risk
Based Security,
con servizi medici, rivenditori ed enti pubblici tra i più colpiti.
Stiamo parlando di un valore enorme che si aggira intorno ai 7,9
miliardi di record di dati esposti. Nel mese di novembre, la società
di ricerca ha definito il 2019 come "l’anno peggiore" per
quanto riguarda le violazioni.
Allora,
dopo queste premesse, andiamo a ripercorrere questo anno attraverso
quelli che sono stati i casi più significativi di data breach.
Gennaio
Marriott
ha dato il via al 2019 con una violazione record, quando il gruppo
alberghiero annuncia di aver subito un attacco rendendo pubblici i
record di qualcosa come 383 milioni di clienti ☹,
tra cui alcuni numeri di passaporto e informazioni relative alle
carte di credito. Si tratta di più del doppio dei 147,7 milioni di
americani impattati dalla violazione Equifax.
E, come se non bastasse, il ricercatore Troy Hunt trova 773 milioni
di indirizzi email, insieme a un mega-trove di altri dati, in una
raccolta di file su un servizio cloud.
Febbraio
Febbraio
è stato un mese orribile per la sicurezza online grazie al più
grande data breach mai verificatosi nella storia. Più di 620 milionidi account vengono esfiltrati da 16 siti web e messi in vendita sul
dark web. Dubsmash, Armor Games, 500px, Whitepages e ShareThis sono i
proprietari dei siti che osservano, impotenti, i dati dei loro utenti
rubati e venduti per meno di 20000$ in Bitcoin. Nel frattempo, una
serie di violazioni più piccole dà l’idea del valore dei dati in
ambito sanitario:
- I file relativi a 15.000 pazienti australiani vengono rubati e messi in vendita;
- Nel Connecticut, un accesso non autorizzato permette l’esposizione di 326000 record di pazienti;
- Le informazioni di circa un milione di pazienti di Washington vengono pubblicate in una banca dati pubblica;
- 2,7 milioni di chiamate a una linea sanitaria nazionale svedese vengono registrate e rese pubbliche.
Marzo
Centinaia
di milioni di utenti Facebook e Instagram passano la peggior festa di
San Patrizio della loro storia quando viene reso noto che le loro
credenziali sono state esposte a a causa della cattiva gestione dello
storage delle password della società di social media. In confronto,
l'esposizione di 250.000 documenti legali conservati in una banca
dati aperta sembra una cosa di poco conto ☹.
Aprile
Ancora
Facebook assurge agli onori della cronaca con 540 milioni di record
esposti dopo aver lasciato i nomi degli utenti, gli ID e le password,
tranquillamente, allo scoperto su server non protetti. Nello stesso
mese, Facebook ammette di memorizzare milioni di password degli
utenti di Instagram in chiaro ☹. Basterebbe questo e, invece no.
Infatti, un'altra terribile violazione ad un’agenzia sanitaria del
governo indiano, rende pubbliche 12,5 milioni di cartelle cliniche di
donne incinte. Il motivo? Erano memorizzate su un server non
protetto.
Maggio
Il
gradino più alto del podio, a maggio, va al gigante immobiliare
First American Financial Corp con i suoi circa 100 milioni di
documenti assicurativi resi pubblici. Questo mese, però, vede alla
ribalta anche un paio di attacchi originali, relativi al mercato del
food:
- Burger King lascia esposto un database contenente i dati personali di quasi 40000 clienti del suo negozio online;
- L'attività di due aziende rivali della ristorazione scolastica della Bay Area, si trasforma in cyberwarfare quando il CFO di una delle due viene arrestato per aver hackerato il sito dell'altra ed avere reso pubblici i dati degli studenti.
Giugno
Almeno
20 milioni di pazienti vedono resi pubblici i loro dati quando la
società American Medical Collection Association viene hackerata. Il
danno? Vengono intraprese diverse class action contro AMCA. Nel
frattempo, il data breach è enorme dal momento che sono pubbliche le
fatture dei pazienti, i numeri di previdenza sociale, le informazioni
mediche, le date di nascita, i numeri di telefono, gli indirizzi e
altro ancora. il risultato? I responsabili contraggono un debito così
alto nei confronti dei clienti che presentano istanza di fallimento.
Luglio
Per
noi è estate e luglio, si sa è un mese caldo. Infatti scoppia il
caso di Capital One. Sembra passato un secolo, vero? Difficile
credere che solo cinque mesi fa la banca abbia esposto 100 milioni di
carte di credito, 140.000 numeri di previdenza sociale e 80.000
numeri di conto bancario, inclusi dati personali come nomi,
indirizzi, codici postali, numeri di telefono e date di nascita. La
violazione porta all’arresto da parte dell’FBI di Paige A.
Thompson, hacker sospettata di essere l’autrice dell’attacco.
Capital One afferma di essere venuta a conoscenza del data breach il
19 luglio e che il costo stimato dell’incidente di sicurezza
risulta compreso fra 100 milioni e 150 milioni di dollari,
soprattutto per le notifiche ai clienti, il monitoraggio dei crediti
e le spese per l’assistenza legale
Agosto
Un'indagine
rende noto che 160 milioni di record della società MoviePass sono
stati lasciati in chiaro in un database aziendale senza protezione,
rendendo pubblici i dati relativi alle carte di credito dei propri
clienti. Nel frattempo, nel Regno Unito, una attacco hacker provoca
l’esposizione di 27,8 milioni di record biometrici, detenuti dalla
Metropolitan Police di Londra.
Settembre
Un
hacker entra in uno dei database dei giochi di Words with Friends e
ottiene i dati di 218 milioni di giocatori, tra cui gli indirizzi
e-mail dei giocatori, i loro nomi, gli ID di accesso e altro ancora.
Nello stesso mese, un attacco che colpisce un numero inferiore di
persone avviene in Ecuador, quando un database governativo mal
configurato genera un data breach di 20,8 milioni di record utente.
Se consideriamo che l’Ecuador ha una popolazione ufficiale di circa
17,5 milioni di abitanti, possiamo comprendere l’entità del danno.
Ottobre
Uno
“show-stopping” di 4 miliardi di record relativi a profili social
viene reso pubblico a causa di una violazione di un server di
Elasticsearch. Numeri mai visti prima ☹ Nello stesso mese, si viene
a conoscenza che Adobe ha lasciato 7,5 milioni di record dei clienti
Creative Cloud in un database non sicuro. Nel frattempo, oltre 20
milioni di documenti fiscali relativi a cittadini russi che mostrano
le informazioni raccolte dal 2009 al 2016, essendo memorizzati su un
database aperto, vengono visualizzati da chiunque.
Novembre
A
novembre la lista di perdite, hackeraggi, violazioni ed esposizioni,
si allunga grazie ad un paio di incidenti dovuti a dipendenti di due
società. Facebook torna in prima pagina dopo che circa 100
sviluppatori di app hanno avuto accesso inappropriato ai dati dei
profili utente. Si viene a scoprire che un dipendente di Trend Micro
aveva rubato, in precedenza, i dati personali di circa 70.000 clienti
della società e che questi dati erano stati utilizzati per truffare
i clienti.
Dicembre
Circa
100 donne, vittime di un furto di foto, diciamo personali, si
aspettano da parte della polizia olandese un regalo di Natale: la
condanna del responsabile del furto. Costui aveva violato gli account
iCloud personali delle vittime grazie alle credenziali trovate in
precedenti violazioni di database pubblici. Il processo si conclude
con la condanna a tre anni di lavori socialmente utili per
l’imputato.
Il
nostro viaggio nel 2019 si conclude qui. Come vedete, è stato un
anno ricco di casi, davvero, importanti. L’Italia non è stata
citata ma ciò non significa che ne sia stata esente, anzi. La nostra
atavica cultura del non rendere pubblici gli attacchi è la causa
principale della mancanza di informazioni anche se mi piace
sottolineare che due aziende nostrane, Saipem ed Iren, che hanno subito attacchi
significativi, hanno, invece, fatto "public disclosure" di quanto accaduto intraprendendo un percorso di modernizzazione tecnologica proprio a partire dalla sicurezza. Percorso che ha coinvolto tutti i dipendenti con corsi e sensibilizzazione sul tema.
Ritornando,
invece, al mio compagno di questo viaggio, Francesco Guccini, le
ultime strofe della sua canzone mi danno la forza per credere che c’è
sempre speranza per migliorare.
“Uomini
e cose lasciano per terra esili ombre pigre,
ma
nei tuoi giorni dai profeti detti nasce Cristo la tigre, nasce Cristo
la tigre...”
Con
l’augurio che sia una resurrezione per tutti coloro che combattono
la “cyber Insecurity”.
Buon
2020
Carlo
Mauceli
Immagine: https://www.ibtimes.co.uk/john-mcafee-fighting-cyberterrorism-laws-like-fighting-isis-profanities-1523610
Nessun commento:
Posta un commento