Washington (USA) – Li hanno assunti per collaudare i sistemi di sicurezza, ma quando dopo tre mesi gli hacker sono entrati in possesso dei dati più delicati, una importante agenzia pensionistica americana ha negato che qualsiasi operazione “di fatto” sarebbe potuta passare inosservata. Negli States è ormai pratica comune far testare la sicurezza di un sistema informatico da aziende specializzate in cui lavorano spesso anche ex hacker, persone in grado di valutare fino a che punto gli apparati di difesa riescono a impedire l’accesso non autorizzato.
Nel caso della Pension Benefit Guaranty Corporation (PBGC), l’auditor, ovvero l’azienda che ha collaudato il sistema, dopo tre mesi ha dichiarato che si tratta di un ambiente “soggetto ad attacchi invasivi interni ed esterni”. Vale a dire non solo dall’interno delle proprie strutture ma anche, via rete, dall’esterno.
Va detto che il tester è stato in questo caso nientemeno che PriceWaterhouseCoopers, una delle maggiori società di auditing americane, secondo cui durante gli attacchi sarebbe stato possibile non solo cancellare o inserire dati ma anche creare beneficiari del tutto fittizi per pensioni mensili di qualsiasi entità. Il tutto senza essere rilevati dai sistemi di monitoraggio dela PBGC.
Pare che le due strade utilizzate dai collaudatori siano state, da un lato l’uso di software di cracking disponibile in rete per ottenere password e arrivare ai massimi livelli attraverso una connessione dial-up, dall’altro l’aver finto di essere operatori della Corporation con la necessità di ottenere nuove password di accesso o una mano per entrare nel sistema…
Comprensibile la preoccupazione della Corporation e soprattutto dei suoi beneficiari, visto che vengono gestiti dall’istituto quasi 42 milioni di account pensionistici. Sulla questione si è anche innestata una polemica parlamentare in cui rischia di finire invischiato il management della Corporation.