GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Anonymous ruba i dati di 30.000 avvocati romani e...riconferma limiti e debolezze della sicurezza dei dati in Italia


mercoledì 8 maggio 2019
Alessandro Papini - Presidente Accademia Italiana Privacy





Anonymous si sa, non è un movimento di pensiero che si fa troppi problemi ad infrangere le regole, ma l'ultima operazione ha smascherato le forti lacune e criticità presenti nella protezione dei dati personali in Italia. Ieri, con un blitz velocissimo, il movimento hacktivisti si è impossessato di nomi e cognomi, indirizzi, numeri di telefono, password e, sopratutto, del contenuto delle email e delle PEC di oltre 30.000 Avvocati e praticanti del Foro di Roma. 

Come è potuto avvenire?
Semplice, sono riusciti a scardinare i server di Lextel, la società che gestisce gli account degli Avvocati e hanno trovato il documento contenente i dati di tutti gli account di posta elettronica che erano stati inviati ad ogni singolo utente per la prima configurazione. Questo fatto apre due scenari cupi sui quali riflettere:

Il primo è la scarsa protezione di un provider di servizi digitali che si è fatto soffiare sotto il naso un documento così importante (ammesso che Anonymous si sia portato via soltanto quello...infatti il CNAIPIC sta indagando). Ad ogni modo è un esempio da manuale di data breach da:

  1. Comunicare al Garante entro 72 ore;
  2. Comunicare agli interessati che in base allart. 82 del Regolamento potranno esercitare il diritto al risarcimento del danno (basti pensare alla Sindaca Raggi che si è vista pubblicare le mail in rete con sotto i commenti "paga le tasse").


L'art.32 del Regolamento Europeo: 
Quanto occorso evidenzia ancora una volta lo scarso interesse che le aziende italiane hanno avuto per il Regolamento Europeo della privacy: è infatti di una gravità preoccupante che un fornitore di indirizzi email così importante non abbia messo in pratica l'art. 32 del Regolamento che qui vi copio incollo affinché tutti voi facciate una riflessione:

"Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  • a)  la pseudonimizzazione e la cifratura dei dati personali;
  • b)  la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • c)  la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del  trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri."

SE NON E' UN CASO DA MANUALE QUESTO....
e a nulla servirà l'aver mandato la prima configurazione con preghiera di cambio password al primo utilizzo, perché oggi tutti i provider di indirizzi di posta elettronica come prima mitigazione dei rischi obbligano al cambio password al primo accesso .

La cultura della privacy...
L'altra considerazione che invece voglio fare è sulla cultura della privacy che purtroppo da noi non riesce a germogliare e a svilupparsi come dovrebbe essere in un paese civile. Prova ne è che una grande quantità di indirizzi email sono stati violati e i messaggi resi pubblici in rete. Questo la dice lunga su quanti Avvocati non diano la necessaria importanza alla protezione dei loro dati personali e di quelli di altri interessati loro clienti.

E' su questo che noi addetti ai lavori dobbiamo sforzarci: la cultura della privacy, l'importanza della protezione dei dati non è un obbligo di legge ma un requisito minimo per poter operare e fare business in una società moderna. E' sempre più necessario che ogni PC e ogni server al cui interno sono custoditi dei dati, dal più piccolo al più grande, siano dotati di Antivirus, di backup, di criptazione, di protezioni verso l'esterno e di tutto quanto sia necessario per garantire che fatti del genere non accadano più.

Un buon corso di formazione, anche fatto da remoto, avrebbe spiegato a tutti che una password iniziale VA SEMPRE sostituita con una nuova e più performante: non una data di nascita o il nome del figlio o del cane (che peraltro conoscono tutti tramite Facebook o altri social network) ma una password che abbia minuscole e maiuscole, lettere, numeri e caratteri speciali.

Come dite? Che diventerebbe troppo difficile da ricordare?
Benvenuti nel mondo digitale moderno...

  • AGGIORNAMENTO DEL 08/05/2019 - H.14.00

In collaborazione con i nostri parner russi di Dr.Web siamo riusciti a raccogliere ulteriori informazioni sulla vicenda: Anonymous è riuscita ad accedere all'account amministratore, ottenendo così l'accesso a pieni poteri sui server di Lextel, come evidenziato dal file admin.png (foto sotto) che risulta liberamente consultabile nell'archivio online nel quale Anonymous ha raccolto e pubblicato alcuni dei dati sottratti.


E' stato così gioco facile, per gli hacktivisti acquisire il database, dove, a ribadire la debolezza dei sistemi di sicurezza del provider della maggior parte dei legali in Italia, le password sono state trovate salvate non in forma di hash, ma in chiaro.

I dati sottratti dal database sono:

  • "IDPEC"
  • "codicefiscale"
  • "pec"
  • "userid"
  • "password" 




CONDIVIDI QUESTA PAGINA!