Un attacco hacker ha aperto una breccia nei database di Deloitte , azienda di consulenza e revisione, prima al mondo in termini di ricavi e numero di professionisti. L’attacco è venuto alla luce solo ora, nonostante sia perdurato per mesi a partire da ottobre/novembre 2016. Deloitte se ne sarebbe accorta solo a marzo avviando un’indagine interna. I cyber-criminali avrebbero ottenuto accesso privilegiato al server di posta, intromettendosi nelle comunicazioni elettroniche tra l’azienda e i suoi clienti . Favoriti dall’assenza di un sistema di autenticazione a due fattori, sono riusciti ad ottenere informazioni sensibili di numerosi clienti Deloitte, tra i quali spiccano grandi banche, multinazionali (anche farmaceutiche) e agenzie governative, come riportato da The Guardian .
Gli hacker hanno agito compromettendo un account amministratore riuscendo poi ad attivare altri account fasulli con gli stessi privilegi. È probabile che gli account che hanno agito in maniera illecita si siano “persi” in mezzo ad altri 244mila account appartenenti ai dipendenti Deloitte e residenti nel sistema cloud di Microsoft (Azure), senza dare nell’occhio per un tempo così lungo. La breccia, che sarebbe circoscritta al territorio statunitense, avrebbe permesso di carpire informazioni quali username, password, indirizzi IP, schemi dell’architettura del business e informazioni sulla salute, senza contare i numerosi documenti sensibili contenuti negli allegati della corrispondenza elettronica.
Ricostruire l’accaduto e i dettagli non è però facile. I sei mesi di indagine interna , nome in codice “Windham”, alla quale hanno preso parte tecnici informatici e specialisti di sicurezza anche per quantificare i danni, non sono bastati ad assegnare le giuste colpe. Da fine aprile l’azienda è seguita da un avvocato, che si sta occupando degli aspetti legali di quella che fino ad oggi l’azienda ha chiamato “possibile incidente di cyber sicurezza”. Ma sono ancora poche le rassicurazioni per i clienti, spaventati dal fatto che i loro dati sensibili siano finiti in mani pericolose e soprattutto che non siano state ancora diffuse informazioni certe sulle azioni intraprese per evitare che in futuro possano ripetersi situazioni simili. Deloitte si è limitata ad affermare che sarebbero “pochi” i clienti che hanno effettivamente subito un danno (contatti singolarmente dall’azienda).
“In risposta ad un incidente informatico, Deloitte ha implementato il suo protocollo di sicurezza globale e ha iniziato una revisione intensiva e approfondita, che prevede la mobilitazione di un team di esperti di sicurezza e di segretezza in ambito informatico interno ed esterno all’azienda” – ha riportato un portavoce, che ha aggiunto: “rimaniamo profondamente impegnati a garantire che le nostre difese in materia di cyber sicurezza siano le migliori, investendo fortemente nella protezione delle informazioni riservate e di continuare a rivedere e migliorare la cyber sicurezza. Continueremo a valutare la questione e ad adottare ulteriori azioni come richiesto”. E pensare che non più tardi del 2012 Deloitte era stata eletta come miglior azienda di consulenza a livello globale proprio in tema di sicurezza informatica.
John Gunn, Chief Marketing Officer di VASCO Data Security, dà un quadro allarmante della situazione: “Le imponenti violazioni di numeri di carte di credito e di previdenza sociale stanno contribuendo a una “svalutazione” di questi elementi. Ciò a cui assisteremo, di conseguenza, è un continuo aumento di attacchi rivolti contro altre fonti di dati sensibili da cui i criminali possono trarre profitto. Le prime dimostrazioni sono avvenute con l’attacco portato ai danni di alcune agenzie stampa, che ha fruttato agli hacker più di 100 milioni di dollari in profitti da insider-trading, e più recentemente con la riuscita violazione che ha colpito la SEC, l’ente federale statunitense preposto alla vigilanza della borsa valori, per quanto riguarda informazioni riservate sulle società quotate. Aziende come Deloitte, in possesso di informazioni sensibili non pubbliche che potrebbero essere utilizzate per negoziazioni illegali, si troveranno sempre di più nel mirino di sofisticate organizzazioni di hacking”.
I casi di attacco sono effettivamente sempre più numerosi e le aziende stanno dimostrando di non essere sempre in grado di proteggere efficacemente i dati degli utenti. Tanto per citare un paio di casi recenti: Unicredit a luglio ha reso noto che 400mila utenti sono stati esposti a rischi per diversi mesi a causa di una breccia; Sogei, agenzia che gestisce i sistemi informatici dell’Agenzia delle Entrate si è resa invece responsabile di una grave carenza di controlli che avrebbe per mesi esposto gli italiani che si sono avvalsi dei servizi online per il pagamento dei tributi : il codice fiscale sarebbe stato il solo dato sufficiente per avere accesso alle fatture inviate e numerosi altri dati personali dei contribuenti. Come abbiamo visto, però, oltre oceano la situazione non è affatto migliore, anzi: a marzo 143milioni di utenti Equifax, agenzia di monitoraggio credito, sono stati esposti a medesimi rischi in quella che è stata definita come la ” peggior breccia della storia USA “).
Da maggio 2018 con l’entrata in vigore del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) le cose dovrebbero cambiare, quantomeno sul fronte dell’informazione all’utente. Per le aziende europee scatta l’obbligo, tra le altre cose, di dare tempestivo avviso in caso di data breach . Nel frattempo, però, la sicurezza dei dati continua ad apparire una questione remota, gestita per giunta con tremendo ritardo.
Mirko Zago