Siamo a fine anno ed è ora di tirare le somme: vediamo i peggiori data breach del 2018

Siamo a fine anno e, come ogni anno, è il momento di tiare le somme. Questo vale anche per la sicurezza informatica.

Il 2018 è stato un anno pieno di avvenimenti in campo di protezione dei dati, il più importante fra tutti è sicuramente l’entrata in vigore del GDPR del 25 maggio.

Da quella data sono iniziati a venire fuori le dichiarazioni riferite a diversi attacchi subiti dalle aziende nel corso di questi 12 mesi (o comunque scoperti durante l’anno) che hanno colpito i dati personali di migliaia di persone.

Vediamo la top 10 dei più disastrosi data breach del 2018.

10. Facebook: luglio 2017 - settembre 2018

Per Facebook il 2018 è stato sicuramente un anno nero. I guai passati dal social network sono stati moltissimi e le falle sulla sicurezza dei loro sistemi non sono certo passate inosservate, soprattutto al Parlamento Europeo.

L’accatto al numero 10 della nostra classifica ha permesso ad alcuni malintenzionati di sfruttare vulnerabilità nel codice di Facebook per mettere le mani su “token di accesso” (essenzialmente chiavi digitali che consentono loro l’accesso completo agli account degli utenti compromessi) e quindi a scansionare i dati degli utenti.

Questo data breach si stima abbia causato danni a 29 milioni di utenti.

Ne avevamo parlato qui.

9. Chegg: 29 aprile 2018 – 19 settembre 2018

Chegg è una azienda specializzata in noleggio di libri di testo online (sia in formato fisico che digitale), aiuto per i compiti, tutoraggio online, borse di studio e matching per stage. È pensato per aiutare gli studenti delle scuole superiori e del college.

In questo caso l’azienda è stata violata e sono state sottratti nomi utenti e password. Il danno stimato è di circa 40 milioni di profili violati.

8. Google+: 2015 – marzo 2018, 7 novembre – 13 novembre

Nemmeno il colosso Google è stato risparmiato. Il punto debole, in questo caso, è stato il social Google+ che ha permesso, a causa di un bug, l’esportazione dei dati personali dei suoi utenti.

Il danno stimato è di 52,5 milioni di sottoscrittori violati e la chiusura del social prevista per aprile 2019.

Più info qui.

7. Cambridge Analytica feat. Facebook: anno 2015

Non è stato il caso che ha messo a rischio più utenti in assoluto ma è sicuramente quello che ha destato il maggior effetto mediatico: una app realizzata per definire la personalità di chi la scaricava, chiamata “thisideourdigital life”, trasmetteva impropriamente informazioni degli utenti a società terze, tra cui Cambridge Analytica, un’azienda che pare abbia usato queste informazioni per creare annunci mirati e fake news a sfondo politico, favorendo la vittoria di Trump alle presidenziali USA.

Cosa c’entra Facebook? L’app è stata scaricata da “soli” 270.000 utenti ma, grazie alle politiche di condivisione di informazioni del social, i dati raccolti sono stati, grazie alle connessioni di “amicizia” virtuale, 87 milioni.

Qui ne avevamo parlato meglio. 

6. MyHeritage: 26 ottobre 2017

Il sito MyHeritage, che conserva informazioni sul dna di milioni di utenti per collegarli attraverso le parentele di antenati, è stato attaccato a fine 2017, mettendo a rischio 92 milioni di password e email.

Qui la storia e gli effetti del GDPR.

5. Quora – scoperto nel novembre 2018

Il sito di domande Quora è stato attaccato da alcuni hacker che sono riusciti a entrare nei loro server, ottenendo un accesso non autorizzato.

Le informazioni coinvolte nella breccia alla sicurezza del sito, legate direttamente agli account, sarebbero nome, indirizzo email e IP, password crittografata e dati importati da reti collegate dagli utenti. Altre informazioni trafugate riguarderebbero dei contenuti e azioni pubbliche sul sito come le domande, le risposte, i commenti e gli upvotes. Infine sarebbero stati trafugati contenuti e azioni non pubblici, ad esempio richieste di risposta, downvotes e messaggi privati.

Gli utenti colpiti sono circa 100 milioni.

Qui la storia. 

4. MyFitnessPal – febbraio 2018

Cos’è successo: un “soggetto non autorizzato” ha ottenuto l’accesso ai dati dagli account utente su MyFitnessPal, un’app di fitness di proprietà di Under Armour.

Utenti colpiti: 150 milioni.

3. Exactis – giugno 2018

Un esperto di sicurezza informatica ha individuato un database “con praticamente tutti i cittadini statunitensi” esposti “su un server accessibile pubblicamente”, anche se non è chiaro se qualche hacker abbia avuto accesso a tali informazioni. Questi dati comprendevano numeri di telefono, indirizzi, mail e nominativi di circa 340 milioni di persone.

Qui c’è la storia ma è in inglese.

 2. Hotel Marriott Starwood – 2014 – settembre 2018

Dal 2014 un’intrusione ai sistemi di prenotazione degli hotel Starwood ha permesso di violare e copiare le informazioni private (nomi, numeri di telefono, delle carte di pagamento con data e scadenza) di 500 milioni degli ospiti.
Ecco cosa è successo. 

 1. Aadhaar – non si sa quando sia iniziata la violazione ma è stata scoperta a marzo 2018

Ed ecco il vincitore.

Il database ID del governo indiano, che memorizza l’identità dei cittadini e le loro informazioni biometriche, ha avuto “una fuga di dati su un sistema gestito da una società di servizi statali di nome Indane”. Indane non aveva protetto correttamente la API, che è utilizzata per accedere al database, che ha dato a chiunque l’accesso alle informazioni di Aadhaar.

Si stima siano stati colpiti circa 1.1 miliari di utenti.

Sono stimati a 300 milioni di euro i danni imputabili agli attacchi informatici subiti dalle imprese, ma non solo, di Veneto e Friuli Venezia Giulia

Il cybercrime sembra essere diventata la prima minaccia da cui si devono ben guardare le aziende oggi. Sono infatti state stimate perdite per circa 300 milioni di euro, relative alle aziende di Friuli Venezia Giulia e Veneto.

I dati sono stati forniti a cybersecurityitalia.it da un’azienda informatica friulana che si occupa di sicurezza e ha visto le richieste di intervento salire di oltre il 40% nel 2018.

Pare quindi non essere un problema solo per Facebook, Google e i grandi nomi del web, al contrario anche piccole e medie imprese vengono prese di mira sempre più sovente e sicuramente con meno difficoltà: sembra infatti che, nonostante l’entrata in vigore del GDPR e l’aumentare dell’informazione relativa alla sicurezza informatica, molte compagnie non abbiamo preso le dovute precauzioni, e siano state quindi vittime di attacchi spesso evitabili.

Se infatti da un lato abbiamo dei sistemi non aggiornati, una protezione debole e un backup parziale o del tutto assente, dall’altro frequentemente troviamo un personale impreparato non solo a gestire un attacco, ma soprattutto a prevenirlo, rispettando semplici good practice.

L’elemento umano infatti è spesso il più pericoloso perché, aprendo banalmente una mail, si rischi di dare l’accesso a un malware che può provocare danni anche molto seri.

La diffusione della cultura informatica, soprattutto tra i dipendenti delle aziende e delle PA, sembra essere la strada migliore per evitare di cadere nelle trappole dei malintenzionati. Sono quindi manager, dirigenti o chi comunque prende decisioni a dover capire quali siano i danni reali di una mancata diffusione della conoscenza digitale: l’apertura di una mail da parte di un dipendente poco attento può causare anche migliaia di euro di danni all’azienda.

La cultura da sola però non basta. L’errore umano deve infatti sempre essere previsto, è buona norma affiancare dei buoni comportamenti a degli strumenti solidi e adatti alla propria realtà.

Come riportato nell’ultima indagine Clusit della scorsa estate, i danni per l’Italia, derivanti da sole attività cyber criminali, sono stati calcolati in quasi 10 miliardi di euro, pari a dieci volte tanto il valore attuale degli investimenti italiani in ICT Security.

È iniziato il Patch Tuesday. Come ogni secondo martedì del mese sono partiti i nuovi aggiornamenti di sicurezza di Windows, gli ultimi per il 2018. Le novità serviranno per correggere diverse vulnerabilità critiche. Vediamo di cosa si tratta e come comportarsi con gli aggiornamenti

L’11 dicembre 2018 è iniziato, negli USA, il Patch Tuesday e cioè il giorno (il secondo martedì del mese) in cui Windows rilascia il pacchetto di aggiornamenti di sicurezza, volti a risolvere alcune criticità riscontrate nella versione attuale.

In Europa la giornata dedicata agli aggiornamenti è solitamente il mercoledì successivo ma molto dipende anche dalle impostazioni che ognuno ha programmato sul proprio pc.

L’aggiornamento di dicembre è volto a correggere 38 vulnerabilità e ben 9 di queste sono segnate come critiche. È quindi opportuno non rinviare troppo a lungo il lavoro e ricavarsi il tempo necessario affinché il pc lavori su queste patch.

I prodotti che verranno aggiornati sono:

• Microsoft Windows
• Internet Explorer
• Microsoft Edge
• Microsoft Office
• Microsoft Office Services e Web Apps
• NET Framework
• Microsoft Dynamics NAV
• Microsoft Exchange Server
• Microsoft Visual Studio
• Windows Azure Pack (WAP)
• ChakraCore
• Adobe Flash Player

Come riportato da CyberSecurity360, 5 dei 9 aggiornamenti critici sono volti a correggere le vulnerabilità di Chakra, lo scripting engine di Microsoft Edge e in particolare il modulo che gestisce gli oggetti nella memoria del browser.Queste falle potrebbero danneggiare la memoria, permettendo l’ingresso a un malintenzionato, semplicemente facendo entrare il proprietario del pc in una semplice pagina web creata ad hoc.

Nel pacchetto dei bollettini di sicurezza segnati come critici c’è un aggiornamento che serve a correggere una vulnerabilità legata all’errata gestione dell’input nel framework Microsoft, un altro che corregge una vulnerabilità legata all’errata gestione delle richieste DNS su Windows Server che permette l’esecuzione di codice in modalità remota, ne abbiamo poi uno che corregge una vulnerabilità legata all’esecuzione di codice in modalità remota, dovuta al modo in cui Internet Explorer gestisce gli oggetti in memoria. In uno scenario web, l’attaccante dovrebbe indurre la vittima a visitare un sito appositamente predisposto per sfruttare la vulnerabilità di Internet Explorer:

CVE-2018-8631 | Internet Explorer Memory Corruption Vulnerability

Infine un aggiornamento che corregge l’esecuzione del codice remoto in Windows che si presenta quando il motore di text-to-speech di Microsoft non riesce a gestire correttamente gli oggetti in memoria. In particolare, la vulnerabilità è dovuta alla corruzione della memoria in Microsoft Edge.

Procedere con gli aggiornamenti è molto semplice: Windows 10 è già impostato per verificarne la disponibilità ed installarli automaticamente. È possibile però programmare manualmente un giorno e un orario andando sulle impostazioni -> aggiornamenti e sicurezza –> cambia data e ora. In questo modo il sistema sa quando usiamo più frequentemente il pc e imposta un orario comodo per procedere con le modifiche automatiche, così da non interrompere l’operatività.

Sempre in questa sezione delle impostazioni è possibile verificare se ci siano aggiornamenti disponibili ed effettuare manualmente l’update.

Le denunce arrivano da 7 Stati membri dell’Unione Europea: Google viola il GDPR, spiando il movimento degli utenti attraverso la geolocalizzazione sui dispositivi smartphone

“Le pratiche ingannevoli di Google contraddicono la lettera e lo spirito del regolamento” Ue sulla tutela dei dati personali, “è inaccettabile che le imprese fingano di rispettare la legge quando in realtà la aggirano”, ha dichiarato la direttrice del Beuc, Monique Goyens, facendosi portavoce di ben sette associazioni europee di consumatori pronte a denunciare il gigante del web ai rispettivi Garanti della privacy.

Il Beuc – dal francese Bureau Européen des Unions de Consommateurs – è un’associazione “ombrello” di consumatori di più Paesi: Norvegia (con la sua Forbrukerradet), Repubblica Ceca (dTEst), Olanda (Consumentenbond), Svezia (Sveriges Konsumenter), Grecia (Ekpizo) Slovenia (Potrosnikov Slovenije) e Polonia (Federacja Konsumentow).

Nel loro mirino il sistema di geolocalizzazione che Big G attiva sugli smartphone degli utenti e che sembrerebbe non rispettare i principi del Regolamento Europeo sulla Protezione dei Dati (GDPR). 

Il problema sembra riguardare prevalentemente gli smartphone Android che funzionano solo se associati a un account Google. Questo sembrerebbe discostare dal GDPR, in quanto Google non ha una base giuridica per trattare i dati, non ha un vero interesse legittimo su questa attività altamente intrusiva e gli utenti non sono liberi di dare o meno il proprio consenso.

Arriva pronta la difesa di Big G che dichiara che “La cronologia delle posizioni è disattivata per impostazione predefinita e può essere modificata, cancellata o messa in pausa in ogni momento. Se è attiva, aiuta a migliorare servizi come la previsione del traffico durante gli spostamenti. Se è in pausa, è bene chiarire che – in base alle impostazioni di ciascun telefono e delle app –  potremmo ancora raccogliere e usare i dati sulla localizzazione per migliorare l’esperienza con Google. Diamo la possibilità di controllare i dati sulla localizzazione anche in altri modi, tra cui uno strumento di controllo Google chiamato Attività Web & App, e direttamente su ciascun dispositivo. Lavoriamo costantemente per migliorare i nostri strumenti di controllo, e leggeremo attentamente questo rapporto per vedere se ci sono cose che possiamo migliorare”.

Proprio quel voler “migliorare l’esperienza con Google” pare essere una motivazione troppo labile. Vedremo se le associazioni di consumatori andranno fino infondo, imponendo ai giganti del web le regole che dovrebbe valere per tutti.

Sono stati attaccati più di 500mila indirizzi PEC della Pubblica Amministrazione. Il vice direttore del DIS per la cyber security consiglia: “Cambiate le password”

Sono circa 500mila le caselle PEC vittime di un attacco informatico che ha coinvolto più di 3000 soggetti, tra cui tantissimi organismi della Pubblica Amministrazione, e che ha avuto come maggior conseguenza l'interruzione dei servizi informatici degli uffici giudiziari dei distretti di Corte di Appello di tutta Italia. 

Nel corso di una conferenza stampa tenutasi il 19 novembre Roberto Baldoni, vice direttore del DIS (Dipartimento delle informazioni per la sicurezza), ha denunciato l’accaduto, parlando dell’attacco come del “più grave avvenuto nel 2018”. Ha inoltre chiarito che l’hackeraggio non è partito dall’Italia e che la polizia postale sta indagando su quanto accaduto.  

Le vittime, come detto, sono soggetti privati e pubblici appartenenti in particolare alle istituzioni che fanno parte del Comitato Interministeriale per la Sicurezza della Repubblica (CISR), vale a dire Presidenza del Consiglio, Autorità Delegata e i ministeri di Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico e Giustizia. Proprio quest’ultimo dipartimento è stato il più colpito.

L’attacco, avvenuto lo scorso 12 novembre è durato poche ore e ha consentito ai malintenzionati di estrapolare alcuni dati personali dei proprietari degli indirizzi PEC colpiti, ma non di estrarre documenti.

Inizialmente, il 10 novembre, gli hacker hanno compiuto un’azione di scanning, volta a raccogliere informazioni per colpire seriamente due giorni dopo, provocando un vero e proprio blocco del servizio. L’azienda hackerata, che fornisce servizi ICT alla PA, ha notificato al CNAIPIC l’attacco, intuendo che poteva essere estremamente rilevante dal unto di vista della sicurezza nazionale.

Dopo la segnalazione dalla Polizia all’NSC è partito il primo protocollo di allerta e poi, in base a una serie di informazioni ricevute dalle vittime dell’attacco, a un secondo. La conseguenza più eclatante è stata il blocco dei Tribunali nella giornata del 14 novembre.

Il cyber attacco, dice Baldoni, “è stato grave e ha avuto ricadute importanti. Ma noi stavamo lavorando da tempo su una serie di punti, che definiscono cosa dobbiamo fare per il nostro sistema di cyber securirty nazionale”. 

Ora, per correre ai ripari, è lo stesso Baldoni che invita tutti i possessori di un indirizzo PEC a cambiare la password.

“Le caselle di posta elettronica violate con password al seguito”, riporta La Repubblica, “possono essere usate per impersonare autorità e dare ordini fasulli, oppure possono essere vendute al mercato nero a soggetti interessati ad ottenere elenchi di giornalisti, magistrati, dirigenti ministeriali con scopi di spionaggio politico, militare e industriale. Nell'ipotesi peggiore il furto delle credenziali è solo l'ultima fase dell'attacco verso qualche operatore istituzionale di cui venivano spiate le mosse in precedenza da attori statali o parastatali, i famosi Apt, i gruppi paramilitari cibernetici al servizio di Stati canaglia, con molta probabilità simili a quelli scoperti nei giorni scorsi ai danni dell'industria navale italiana da una task force Yoroi-Fincantieri”. 

Dopo l’attacco, durante una riunione coi vertici dello Stato cui ha partecipato anche il Premier Conte, sono state definite una serie misure minime di sicurezza, per proteggere soprattutto la PA. Tra queste c’è l’inserimento, nei contratti di acquisto, di clausole adeguate all’impatto che hanno nella sicurezza i beni ICT acquistati dalla PA.

Nuovi problemi per Facebook: la società di cybersecurity Imperva ha individuato un nuovo bug che permetterebbe ai siti di ottenere informazioni private degli utenti

Sembrano non finire mai i guai per Facebook. Dopo lo scandalo di Cambrige Analytica infatti, non smettono di comparire nuove minacce che mettono a rischio i dati degli utenti.

L’ultima, in ordine cronologico, è stata segnalata in maggio dalla società di cybersecurity Imperva, che ha individuato un bug presente nella pagina che visualizza i risultati di ricerca. 

Quado usiamo Facebook per cercare un amico, un evento, una pagina o qualsiasi altra cosa, veniamo infatti reindirizzati su una pagina “riassuntiva” che riporta tutte le voci collegate alla nostra specifica richiesta. Ciascuno di questi risultati è associato a un URL, che è la sequenza di caratteri che crea l’indirizzo Internet, per intenderci, e che si compone di sei parti: 

protocollo (https)://[username[:password]@]host[:porta]</percorso>[?querystring][#fragment]

https://www.facebook.com/TECSISsrl/  --> e questo è poi il risultato finale visibile. 

Dentro questo indirizzo dovrebbe esserci un meccanismo di protezione, volto a difendere gli utenti associati da attacchi CSRF (cross-site request forgery). 

Per sfruttare questa vulnerabilità per gli hacker era sufficiente portare gli utenti a cliccare su un sito dannoso, sul proprio broswer, in cui non avevano effettuato la disconnessione da Facebook e cancellato la cache.

In questo modo il broswer leggeva l’indirizzo cliccato dall’utente come se fosse stato richiesto da lui, dando così all’hacker la possibilità di accedere, al posto dello sfortunato utente, a numerosi dati tra cui:

• il nome specifico di un amico che ha proprio nel suo nome la parola chiave
• pagine specifiche che segui (profilando quindi i tuoi comportamenti)
• pagine che piacciano ai tuoi amici• foto scattate in un determinato luogo o Paese
• foto postate in determinate luoghi o Paesi
• aggiornamenti pubblicati sulla tua timeline, contenenti specifici parole chiavi
• amici appartenenti a determinati gruppi religiosi

La falla sembra ora essere stata risolta ma per Facebook la sicurezza continua ad essere un grosso problema, anche se non l’unico Ricordate la brutta vicenda del coinvolgimento del social network nell’influenzare l’elettorato statunitense durante le elezioni presidenziali, con un piccolo aiuto della Russia? Ecco, pare che Facebook in quella storia abbia molte più colpe di quanto pensassimo, come riportato nella nuova inchiesta del New York Times.