La scorsa settimana Federprivacy – l’associazione che riunisce i professionisti della privacy e della protezione dei dati – è entrata nel mirino della cybergang Alpha Team.
Dichiarazione del Presidente Nicola Bernardi
A seguito del cyberattacco del gruppo Alpha Team, il sito ufficiale dell’organizzazione Federprivacy è risultato irrangiungibile per alcuni giorni. Dopo che il sito web è tornato disponibile, il Presidente dell’Associazione Nicola Bernardi ha rilasciato la seguente dichiarazione:
“Da più di quindici anni mi occupo di promuovere i temi della privacy e della protezione dei dati attraverso le attività di Federprivacy, e specialmente negli ultimi tempi ho tenuto spesso a evidenziare agli addetti ai lavori della nostra comunità di professionisti l’importanza di tutelare i nostri dati, non solo in termini di conformità alla normativa, ma anche la necessità di proteggere in modo concreto la sicurezza dei nostri dati personali, e chi segue le attività formative della nostra associazione sa bene come, specialmente con l’avanzare delle nuove tecnologie, non sia opportuno porsi il problema di cosa fare se dovesse accadere un data breach, ma piuttosto di quando capiterà, perché ormai dobbiamo mettere in conto che prima o poi potrà capitare a ognuno di noi.
E questa volta è toccato a Federprivacy, coinvolgendo l’intera categoria degli addetti ai lavori composta da Data Protection Officer, Privacy Officer, Security Manager, giuristi, e tutti gli altri professionisti che sono iscritti alla nostra associazione, compresi purtroppo i nostri 2.500 soci membri, e questo mi dispiace enormemente.
Tra coloro che sono stati colpiti dal recente attacco hacker sferrato a Federprivacy ci sono naturalmente anch’io, e vi assicuro che posso capire la frustrazione e il risentimento di ciascuno dei nostri 26.000 utenti che nella loro vita si occupano proprio di tutelare i dati.
Devo confessare però, che per le misure di sicurezza adottate finora, non abbiamo niente da rimproverarci, perché anche se in tutti questi anni Federprivacy è cresciuta molto acquisendo una notevole autorevolezza nel panorama italiano, e abbiamo sempre investito denaro e risorse per la cybersecurity, d’altra parte dobbiamo avere la consapevolezza che rimaniamo sempre e comunque un’associazione non profit da cui non sarebbe ragionevole aspettarsi o pretendere gli stessi livelli di sicurezza che invece devono garantire enti governativi e multinazionali che hanno ben altri budget e standard di sicurezza proporzionati alla tipologia di informazioni dei dati che gestiscono.
Chiunque possiede un minimo di competenze informatiche ed è onesto intellettualmente sa che la stragrande maggioranza dei siti delle piccole e medie organizzazioni sono sviluppati con dei CMS, e non può negare che un attacco hacker come quello che ha colpito Federprivacy potrebbe colpire qualunque altra associazione non lucrativa italiana che si occupa di privacy e sicurezza informatica.
E, per quanto ci riguarda, anche se la natura dei dati che sono stati trafugati alla nostra associazione non riveste particolare sensibilità, perché riguardano soprattutto informazioni relative all’attività di professionisti che spesso sono disponibili pubblicamente sui siti web dei rispettivi ordini di appartenenza, ciò non sminuisce ovviamente la gravità dell’accaduto, anche se rimane comunque l’amaro in bocca per tutti noi, e anche per ciò che mi riguarda direttamente e personalmente.
L’attacco sferrato nei miei confronti è stato infatti ancora più cruento, vedendo violati ed usurpati tutti i miei profili social personali, da cui è peraltro partito l’attacco, in quanto solo dopo di esso sono venuto a conoscenza di una enorme violazione di milioni di account Linkedin resa nota nei giorni scorsi, trai quali vi era anche il mio. Chiunque conosce il mio indirizzo email lo può infatti constatare digitandolo in uno nei siti specializzati per verificare se si è stati coinvolti in una data breach.
Sicuramente quest’esperienza mi insegna che non possiamo mai sentirci al sicuro con i dati che dobbiamo tutelare, e che non possiamo permetterci di abbassare mai la guardia.
Quello invece a cui non trovo alcuna giustificazione plausibile, riguarda però l’insistenza degli hacker nel coinvolgere la mia vita privata, e in particolare di mia moglie, che è stata la prima e unica persona da loro contattata, la quale ha subìto attacchi ai propri profili social personali, ed è arrivata perfino ad essere stata minacciata perché non avrebbe collaborato abbastanza con loro per far leva su di me affinché negoziassi le loro richieste di estorsione.
Se in qualche modo potrei comprendere certi atteggiamenti degli attivisti informatici e riconoscere il loro diritto di portare avanti le loro ideologie, e che per questo forse hanno voluto punirmi per aver semplicemente promosso i temi della protezione dei dati con troppo entusiasmo e risultati, d’altra parte, al coinvolgimento e alla vessazione dei miei familiari non trovo alcuna scusante, e non posso che definire tali persone per quello che sono realmente: criminali.
Cercando comunque di lasciarci alle spalle questa brutta vicenda da cui si traggono sicuramente importanti lezioni di vita, tutto ciò che è accaduto in questi giorni sarà sicuramente spunto di riflessione e di confronto al Cyber & Privacy Forum in programma il 29 novembre, e per questo ci tengo ad invitare tutti gli addetti ai lavori a partecipare a questo evento che ha l’obiettivo di inquadrare la compliance e la sicurezza informatica come le due facce di un’unica medaglia.”
Defacing del sito web www.federprivacy.org
Lunedì 13 novembre
“Alpha Team was here..
MESSAGE: Questa è la prova dell’accesso al vostro server.
La vostra infrastruttura informatica è stata compressa, il che ci ha permesso di accedere al vostro server e ai vostri database”
In ambito della sicurezza informatica, il defacing è una pratica messa in atto per modificare, in maniera illecita, la home page di un sito web. Spesso la pagina principale viene sostituita con una schermata che indica l’azione compiuta da uno o più cracker.
Le tecniche impiegate per ottenere i permessi di accesso in scrittura al sito sfruttano solitamente i bug presenti nel software di gestione del sito, o, in alternativa, nei sistemi operativi.
Le cause di questo illecito possono essere molteplici e, generalmente, questo crimine informatico viene impiegato come atto di atto di vandalismo digitale, al fine di compromettere la sicurezza di un sito web.
Questa tipologia di attacco comporta l’interruzione dei servizi inerenti all’organizzazione stessa, creando danno all’immagine e alla reputazione di una società o ente pubblico.
È importante ricordare che questa pratica è illegale in tutti i paesi del mondo.
Hakeraggio del profilo Linkedin del presidente di Federprivacy Nicola Bernardi
Immediatamente dopo l’attività condotta sul sito web, Alpha Team si è concentrato sul profilo linkedin del presidente di Federprivacy Nicola Bernardi, pubblicando a suo nome diversi post.
La pubblicazione dei dati di Federprivacy
Cosa hanno fatto gli hacker di tutti questi dati? Si è trattato di un attacco aggressivo «black hat», quelli fatti per danneggiare il destinatario o «grey hat», quelli fatti senza il permesso per destinatario per segnalare una vulnerabilità del sistema e magari farsi pagare per «l’aiuto» (gli attacchi «white hat» sono invece quelli fatti in collaborazione con l’azienda che li commissiona per verificare lo stato di sicurezza del proprio sistema).
Difficile capirlo, perché sulla vendita e sulla disponibilità dei dati nel dark web è andato in scena un balletto un po’ grottesco. Inizialmente Zorg, leader del gruppo hacker Alpha Team, ha fatto sapere di non volere vendere i dati e di non volere danneggiare chi nei dati fosse riconoscibile: «Vogliamo invece che la questione sia risolta nel modo più discreto possibile, in modo che, una volta soddisfatte le nostre richieste, possiamo cancellare tutto ciò che è in nostro possesso e inviarvi un rapporto contenente tutte le vulnerabilità che abbiamo scoperto nel vostro sistema, in modo che possano essere corrette. Ovviamente, per farlo, vorremmo parlare con lei e trovare un accordo che soddisfi entrambe le parti». Frase che farebbe pensare a un attacco grey hat.
Poi però mercoledì scorso qualcosa è cambiato. Il materiale hackerato è comparso sul darkweb: il database completo, il backup completo del server e della webmail dell’associazione.
Il sito web di Federprivacy torna online
Il sito web è tornato disponibile venerdì 17 novembre, insieme alla dichiarazione rilasciata dal Presidente dell’Associazione Nicola Bernardi che abbiamo precedentemente riportato.
