Traduttore automatico - Read this site in another language

venerdì 27 dicembre 2019

2019 Data Breach Calendar

Fine anno. 

Momenti di riflessione e anche di stacco, sia pur breve, dalla quotidianità. Sciando tra le splendide montagne della Val Badia, mi trovo a ricordare le canzoni della mia adolescenza e tra queste mi tornano alla mente queste strofe:
O giorni o mesi che andate sempre via, sempre simili a voi è questa vita mia, diversa tutti gli anni e tutti gli anni uguale, la mano di tarocchi che non sai mai giocare, che non sai mai giocare”.
Molti lettori, forse, la ricorderanno. Si tratta della bellissima canzone, anzi, poesia mi verrebbe da dire, di Francesco Guccini: La canzone dei dodici mesi, incredibilmente adatta a questi giorni. E, così, canticchiando tra me e me, con il rumore degli sci sotto i piedi e il bianco che ammanta queste magnifiche montagne, mi passano davanti agli occhi le immagini di questo 2019 che ci sta per lasciare.
Il tetto della cattedrale di Notre Dame divorato dalle fiamme è lo scatto più iconico del 2019 che stiamo per lasciarci alle spalle. La ferita inferta a uno dei simboli della cristianità ha suscitato un’ondata di commozione e preghiera che ha pervaso il mondo intero, compresa l’Amazzonia, dove i roghi, stavolta non accidentali, hanno devastato il primo polmone verde del pianeta.
Greta Thunberg, la sedicenne svedese attivista green, non ha fatto mancare il suo grido di dolore per la selva in fiamme, mentre in barca a vela (obiettivo emissioni zero), solcava l’oceano, dal Regno Unito agli Usa, per partecipare al summit delle Nazioni Unite sui cambiamenti climatici.
Donne protagoniste quest’anno anche nello spazio. Due astronaute statunitensi sono entrate nella storia dopo aver effettuato la prima passeggiata fra le stelle tutta al femminile. Scendendo a Terra, il 2019 ha visto la governatrice di Hong Kong, Carrie Lam, reprimere nel sangue le proteste degli studenti universitari. Finora è riuscita a tenersi stretta la poltrona, quella che, invece, rischia di perdere il presidente degli Stati Uniti, Donald Trump, finito sotto impeachment a causa dell’Ucraina gate. Festa grande nella casa reale britannica per la nascita di Archie, il primogenito dei duchi di Sussex, Harry e Meghan. Con loro ha gioito l’intera Inghilterra, colpita da un secondo attentato islamista sul London Bridge dopo quello del 2017. Tre le vittime, compreso l’attentatore. Ben più pesante la conta dei morti in Nuova Zelanda, dove a marzo uno sparatore neofascista ha assaltato due moschee. Cinquantuno le vite umane spezzate.
Come sempre, quindi, la fine di ogni anno è il momento ideale per guardarsi indietro, per tirare le somme, per fare un’analisi di quanto accaduto, per sapere cosa ci siamo lasciati alle spalle e cosa ci riserverà il futuro. Tante cose sono cambiate e tante sono accadute ma ce n’è una che, al contrario di molte altre, rimane una costante, sempre più duratura, eterna, oserei dire. Un qualcosa verso cui l’essere umano, pur prendendone sempre più consapevolezza, sembra non riuscire a trovare le armi giuste per conoscerla nel profondo, per riuscire a farle fronte e per evitare che si diffonda come la peggiore delle epidemie. Di che cosa si tratta vi chiederete, magari incuriositi, magari spettatori un po' distratti oppure operatori del settore alle prese con gli effetti di questa malattia da cui pare non si riesca a guarire. Il suo nome è cyber security o, meglio, “cyber insecurity” visto quello che anche il 2019 ci ha riservato. È un po' come nella canzone di Guccini: “diversa tutti gli anni ma tutti gli anni uguale” e per usare un titolo ad effetto, tanto più che in lingua inglese, potremmo scrivere:“Biggest data breaches of 2019: Same mistakes, different year
A questo punto mi sono detto: “Perché non provare a realizzare un calendario il cui protagonista non è una bellissima modella o un quadro d’autore o una meravigliosa fotografia?” Ed eccolo qui il “2019 Data Breach Calendar”, ossia il calendario dei data breach più significativi che hanno caratterizzato il 2019, divisi, rigorosamente, per mese.
Prima di scorrere l’album dei ricordi 😊, però, cominciamo col dire che il motivo ricorrente tra le principali violazioni dei dati del 2019 non è stato l'hacker incappucciato, immaginato in una stanza buia con davanti un terminale che riflette scritte verdi. No. Niente di tutto ciò. Se credete questo, siete dei poveri illusi. Il motivo ricorrente, invece, è stato l’insieme di dirigenti senza volto e l’insieme dei professionisti della sicurezza, posti sotto le luci fluorescenti di un ufficio sito da qualche parte che, freneticamente, parlottano con i loro avvocati al fine di redigere una qualche scusa pubblica dopo essersi accorti di avere subito una violazione.
Parole come "database non protetto" si sono ripetute come un ritornello nel corso del 2019. Ogni mese, una nuova società chiedeva ai propri clienti di modificare le password e di segnalare eventuali danni. Aziende appartenenti ai settori della sanità, dell'ospitalità, del governo, dei mercati energetico e petrolifero e di tante altre aree dell’industria pubblica e privata, hanno lasciato non protetti i dati sensibili dei propri clienti, nelle “selvagge terre di Internet”. Dati che sono stati acquistati e venduti da hacker i quali non hanno nemmeno dovuto fare grandi sforzi per trovarli.
E non si tratta, soltanto, del risultato che una copertura mediatica maniacale ha messo in evidenza. Purtroppo, i dati sono lì a testimoniare il fatto che, nel 2019, il numero totale di violazioni è aumentato del 33% rispetto al 2018, secondo una ricerca di Risk Based Security, con servizi medici, rivenditori ed enti pubblici tra i più colpiti. Stiamo parlando di un valore enorme che si aggira intorno ai 7,9 miliardi di record di dati esposti. Nel mese di novembre, la società di ricerca ha definito il 2019 come "l’anno peggiore" per quanto riguarda le violazioni.
Allora, dopo queste premesse, andiamo a ripercorrere questo anno attraverso quelli che sono stati i casi più significativi di data breach.


Gennaio
Marriott ha dato il via al 2019 con una violazione record, quando il gruppo alberghiero annuncia di aver subito un attacco rendendo pubblici i record di qualcosa come 383 milioni di clienti , tra cui alcuni numeri di passaporto e informazioni relative alle carte di credito. Si tratta di più del doppio dei 147,7 milioni di americani impattati dalla violazione Equifax. E, come se non bastasse, il ricercatore Troy Hunt trova 773 milioni di indirizzi email, insieme a un mega-trove di altri dati, in una raccolta di file su un servizio cloud.
Febbraio
Febbraio è stato un mese orribile per la sicurezza online grazie al più grande data breach mai verificatosi nella storia. Più di 620 milionidi account vengono esfiltrati da 16 siti web e messi in vendita sul dark web. Dubsmash, Armor Games, 500px, Whitepages e ShareThis sono i proprietari dei siti che osservano, impotenti, i dati dei loro utenti rubati e venduti per meno di 20000$ in Bitcoin. Nel frattempo, una serie di violazioni più piccole dà l’idea del valore dei dati in ambito sanitario:
  • I file relativi a 15.000 pazienti australiani vengono rubati e messi in vendita;
  • Nel Connecticut, un accesso non autorizzato permette l’esposizione di 326000 record di pazienti;
  • Le informazioni di circa un milione di pazienti di Washington vengono pubblicate in una banca dati pubblica;
  • 2,7 milioni di chiamate a una linea sanitaria nazionale svedese vengono registrate e rese pubbliche.
Marzo 
Centinaia di milioni di utenti Facebook e Instagram passano la peggior festa di San Patrizio della loro storia quando viene reso noto che le loro credenziali sono state esposte a a causa della cattiva gestione dello storage delle password della società di social media. In confronto, l'esposizione di 250.000 documenti legali conservati in una banca dati aperta sembra una cosa di poco conto ☹.
Aprile 
Ancora Facebook assurge agli onori della cronaca con 540 milioni di record esposti dopo aver lasciato i nomi degli utenti, gli ID e le password, tranquillamente, allo scoperto su server non protetti. Nello stesso mese, Facebook ammette di memorizzare milioni di password degli utenti di Instagram in chiaro ☹. Basterebbe questo e, invece no. Infatti, un'altra terribile violazione ad un’agenzia sanitaria del governo indiano, rende pubbliche 12,5 milioni di cartelle cliniche di donne incinte. Il motivo? Erano memorizzate su un server non protetto.
Maggio 
Il gradino più alto del podio, a maggio, va al gigante immobiliare First American Financial Corp con i suoi circa 100 milioni di documenti assicurativi resi pubblici. Questo mese, però, vede alla ribalta anche un paio di attacchi originali, relativi al mercato del food:
  • Burger King lascia esposto un database contenente i dati personali di quasi 40000 clienti del suo negozio online;
  • L'attività di due aziende rivali della ristorazione scolastica della Bay Area, si trasforma in cyberwarfare quando il CFO di una delle due viene arrestato per aver hackerato il sito dell'altra ed avere reso pubblici i dati degli studenti.
Giugno
Almeno 20 milioni di pazienti vedono resi pubblici i loro dati quando la società American Medical Collection Association viene hackerata. Il danno? Vengono intraprese diverse class action contro AMCA. Nel frattempo, il data breach è enorme dal momento che sono pubbliche le fatture dei pazienti, i numeri di previdenza sociale, le informazioni mediche, le date di nascita, i numeri di telefono, gli indirizzi e altro ancora. il risultato? I responsabili contraggono un debito così alto nei confronti dei clienti che presentano istanza di fallimento.
Luglio
Per noi è estate e luglio, si sa è un mese caldo. Infatti scoppia il caso di Capital One. Sembra passato un secolo, vero? Difficile credere che solo cinque mesi fa la banca abbia esposto 100 milioni di carte di credito, 140.000 numeri di previdenza sociale e 80.000 numeri di conto bancario, inclusi dati personali come nomi, indirizzi, codici postali, numeri di telefono e date di nascita. La violazione porta all’arresto da parte dell’FBI di Paige A. Thompson, hacker sospettata di essere l’autrice dell’attacco. Capital One afferma di essere venuta a conoscenza del data breach il 19 luglio e che il costo stimato dell’incidente di sicurezza risulta compreso fra 100 milioni e 150 milioni di dollari, soprattutto per le notifiche ai clienti, il monitoraggio dei crediti e le spese per l’assistenza legale
Agosto
Un'indagine rende noto che 160 milioni di record della società MoviePass sono stati lasciati in chiaro in un database aziendale senza protezione, rendendo pubblici i dati relativi alle carte di credito dei propri clienti. Nel frattempo, nel Regno Unito, una attacco hacker provoca l’esposizione di 27,8 milioni di record biometrici, detenuti dalla Metropolitan Police di Londra.
Settembre
Un hacker entra in uno dei database dei giochi di Words with Friends e ottiene i dati di 218 milioni di giocatori, tra cui gli indirizzi e-mail dei giocatori, i loro nomi, gli ID di accesso e altro ancora. Nello stesso mese, un attacco che colpisce un numero inferiore di persone avviene in Ecuador, quando un database governativo mal configurato genera un data breach di 20,8 milioni di record utente. Se consideriamo che l’Ecuador ha una popolazione ufficiale di circa 17,5 milioni di abitanti, possiamo comprendere l’entità del danno.
Ottobre
Uno “show-stopping” di 4 miliardi di record relativi a profili social viene reso pubblico a causa di una violazione di un server di Elasticsearch. Numeri mai visti prima ☹ Nello stesso mese, si viene a conoscenza che Adobe ha lasciato 7,5 milioni di record dei clienti Creative Cloud in un database non sicuro. Nel frattempo, oltre 20 milioni di documenti fiscali relativi a cittadini russi che mostrano le informazioni raccolte dal 2009 al 2016, essendo memorizzati su un database aperto, vengono visualizzati da chiunque.
Novembre
A novembre la lista di perdite, hackeraggi, violazioni ed esposizioni, si allunga grazie ad un paio di incidenti dovuti a dipendenti di due società. Facebook torna in prima pagina dopo che circa 100 sviluppatori di app hanno avuto accesso inappropriato ai dati dei profili utente. Si viene a scoprire che un dipendente di Trend Micro aveva rubato, in precedenza, i dati personali di circa 70.000 clienti della società e che questi dati erano stati utilizzati per truffare i clienti.

Dicembre

Circa 100 donne, vittime di un furto di foto, diciamo personali, si aspettano da parte della polizia olandese un regalo di Natale: la condanna del responsabile del furto. Costui aveva violato gli account iCloud personali delle vittime grazie alle credenziali trovate in precedenti violazioni di database pubblici. Il processo si conclude con la condanna a tre anni di lavori socialmente utili per l’imputato.
Il nostro viaggio nel 2019 si conclude qui. Come vedete, è stato un anno ricco di casi, davvero, importanti. L’Italia non è stata citata ma ciò non significa che ne sia stata esente, anzi. La nostra atavica cultura del non rendere pubblici gli attacchi è la causa principale della mancanza di informazioni anche se mi piace sottolineare che due aziende nostrane, Saipem ed Iren, che hanno subito attacchi significativi, hanno, invece, fatto "public disclosure" di quanto accaduto intraprendendo un percorso di modernizzazione tecnologica proprio a partire dalla sicurezza. Percorso che ha coinvolto tutti  i dipendenti con corsi e sensibilizzazione sul tema.
Ritornando, invece, al mio compagno di questo viaggio, Francesco Guccini, le ultime strofe della sua canzone mi danno la forza per credere che c’è sempre speranza per migliorare.
Uomini e cose lasciano per terra esili ombre pigre,
ma nei tuoi giorni dai profeti detti nasce Cristo la tigre, nasce Cristo la tigre...
Con l’augurio che sia una resurrezione per tutti coloro che combattono la “cyber Insecurity”.
Buon 2020

Carlo Mauceli


Immagine: https://www.ibtimes.co.uk/john-mcafee-fighting-cyberterrorism-laws-like-fighting-isis-profanities-1523610

Nessun commento:

Posta un commento