Nella notte di domenica 4 febbraio 2018, il gruppo hacker AnonPlus ha violato i server di proprietà del Partito Democratico. Risultato: la pubblicazione online di un elenco contenente nomi, indirizzi, numeri di telefono e altre informazioni personali identificabili relative a 2.653 membri del partito.
Da alcune prime analisi, sembra che l’attacco sia stato eseguito utilizzando una tecnica SQL injection, un metodo comune in cui il codice dannoso viene iniettato in un modulo online che consente agli hacker di accedere e modificare, estrarre o impedire l’accesso ai dati archiviati. La vicenda dimostra la probabile mancanza di attuazione di best practice che ha consentito il successo della violazione. Quando il team IT è stato in grado di individuare e bloccare l’attacco, purtroppo i dati erano già stati rubati.
Questa storia può insegnarci alcune cose:
Sebbene diversi server siano stati attaccati, solo quello con dati del 2015 è stato violato. Questo potrebbe indicare che la vulnerabilità che ha permesso l’attacco non fosse presente su tutti i loro server. Una semplice patch avrebbe potuto risolvere il problema. Solo perché i dati sono vecchi o ridondanti, non significa che perdano valore. I server con dati datati, infatti, dovrebbero essere aggiornati e gestiti allo stesso livello dei server con dati attuali. Aggiornamenti e patch sono ancora una delle attività di sicurezza più importanti che le organizzazioni dovrebbero implementare regolarmente.
Perché il file PDF rubato non è stato crittografato? Quando proteggiamo i dati, dobbiamo sempre tenere presente che questi possano essere rubati e considerare il danno che ciò potrebbe causare. Se il file fosse stato completamente crittografato, per gli hacker i dati sarebbero stati inutili.
Come proteggere la propria organizzazione da simili violazioni? Pianificando correttamente le procedure di patching, programmando aggiornamenti costanti del software, eseguendo test di sicurezza su tali aggiornamenti e assicurandosi che tutti i dati siano crittografati in modo da renderli inutili se trafugati.
Con la normativa GDPR, questa violazione dovrebbe essere notificata all’Autorità Garante per la protezione dei dati entro 72 ore dalla scoperta, con conseguente possibile sanzione. Questa procedura obbliga inoltre a notificare agli interessati l’accaduto. Se i dati fossero stati crittografati e quindi non accessibili, la violazione avrebbe comunque dovuto essere segnalata ma sarebbe venuto meno – o ridotto – l’impatto negativo.
