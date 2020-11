Travata una lista di quasi 50 mila obiettivi sensibili a livello globale pubblicata nel dark web. Tra io soggetti coinvolti anche il istituzioni e aziende di primissimo piano del Life science italiano

Una lista di obiettivi spiattellata nel dark web, una delle più remote anse dell’universo cibernetico. A farlo un gruppo di hacker che lo scorso anno ha attaccato enti pubblici e privati in tutto il mondo e poi il 19 novembre ha reso pubblici gli indirizzi Ip degli stessi rendendo possibile per chiunque, tecnicamente, approfittare della soffiata e rubare materiale sensibile. L’healthcare non è stato risparmiato. La Polizia postale e le autorità competenti stanno facendo i dovuti accertamenti.

Obiettivi italiani

L’attacco globale (di cui si era a conoscenza da tempo) ha colpito l’accesso Vpn di circa 50 mila (49577 per la precisione) società pubbliche e private sfruttando il mancato aggiornamento dei sistemi di protezione. La novità non sta quindi tanto nel data breach in sé, quando nella possibilità da parte di chiunque di reperire gli estremi per effettuare altre sortite ai software (anche grazie a Telegram, nelle cui chat hanno iniziato a circolare le informazioni). A essere stati rubati, infatti, sono stati dati di accesso e password alle Vpn. In Italia sono stati circa 1800 gli obiettivi sensibili. Yarix, società di consulenza informatica e di cybersicurezza, ha filtrato la lista mettendo in risalto le vittime del nostro Paese tra cui risultano esserci istituzioni di rilevanza nazionale (tra cui la Presidenza del Consiglio dei ministri) e grandi multinazionali. Anche il comparto della salute è stato colpito con associazioni di settore (tra cui Farmindustria la quale non era a conoscenza del fatto) e aziende farmaceutiche di primo piano.

La lista

L’elenco è costituito da elementi sufficientemente criptici, almeno per un occhio inesperto. Non sono stati messi in risalto i nomi dei proprietari delle reti attaccate, bensì solo ed esclusivamente gli estremi Ip (ai nomi si è risaliti attraverso controllo incrociati). Alcuni di questi appartenevano ad aziende ospedaliere, società farmaceutiche, istituzioni, enti di rappresentanza, studi legali o associazioni di volontariato. “Alla data di pubblicazione della lista nel dark web – spiega Diego Marson, Chief security officer di Yarix ad AboutPharma and Medical Devices – poco era stato sanato. Purtroppo questi episodi accadono spesso quando il processo di risk management non è strutturato. Noi abbiamo segnalato il tutto al ministero dell’Interno e alla Polizia postale e abbiamo preparato la documentazione per evidenziare lo stato delle cose”.

Il fatto

È Yarix stessa a fare chiarezza sulla vicenda. Parliamo di una vulnerabilità CVE-2018-13379, di tipo path traversal che riguarda dispositivi FortiOS SSL VPN. È ben nota (anche agli attaccanti) e facilmente sfruttabile (è sufficiente un browser) e consente di ottenere in chiaro username e password di utenti Vpn. Il firmware di aggiornamento contro il rischio di data breach è stato rilasciato il 26 novembre 2019 ma a un anno esatto da allora ci sono ancora soggetti che non hanno aggiornato i propri sistemi di difesa e risultano ancora vulnerabili alla CVE-2018-13379.

Carenza di accortezze

Quanto accaduto conferma come molte società ed enti pubblici non diano ancora la dovuta importanza alla protezione cibernetica e come la Vpn, soprattutto con il sovrautilizzo domestico causa Covid, possa essere ancor più veicolo di data breach. “Lo scenario è fluido – continua Marson – ed è essenziale il processo di verifica delle misure opportune da compiere. Un problema non indifferente, tra l’altro, è la grande saturazione del mercato di dispositivi potenzialmente suscettibili di attacchi hacker”. Inoltre l’aggiornamento per la Vpn che non è stato adoperato dalle aziende colpite è disponibile già da un anno, ma proprio l’incapacità o la mancata consapevolezza di ricorrere a upgrading dei propri sistemi informatici ha causato la falla. La sensazione, come conferma lo stesso esperto di Yarix, è la difficoltà di stare al passo con la velocità di aggiornamento dei software.