Di cosa si tratta?
Il 9 settembre, l'Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) ha segnalato una fuga di dati francesi relativi a milioni di risultati dei test COVID-19 su un server neozelandese.
Infatti, l’Assistance Publique-Hôpitaux de Paris (AP-HP) è stata vittima di un attacco informatico causato da una vulnerabilità del proprio software.
In questo contesto, sono stati resi accessibili dati personali e medici, nonché il tipo di test e il relativo risultato. Inoltre, sono state rese note anche l'identità e le coordinate del professionista sanitario che lo ha effettuato.
Le persone interessate sono state contattate per informarle della situazione, ma anche per indicare loro come comportarsi.
A una settimana dai fatti, nuove informazioni confermano che non si tratta né di un errore umano né di un errore dell'istituto, bensì di una falla nel software sfruttata a fini malevoli.
Questa vulnerabilità è stata confermata dalla società statunitense Hitachi Vantara, che sviluppa il software HCP Anywhere, utilizzato dai team dell'AP-HP.
In un comunicato, Hitachi Vantara afferma di aver ricevuto il 13 settembre la segnalazione di una sospetta violazione. Da un'analisi è emerso che si trattava di « una serie di eventi complessi e isolati che potrebbero potenzialmente comportare una vulnerabilità se sfruttati da un malintenzionato » (fonte: Numerama).
Già il giorno successivo, l'organizzazione è stata in grado di fornire una prima patch per limitare l'impatto causato dall'attacco e gli effetti di tale vulnerabilità. Due giorni dopo, è stato possibile distribuire un aggiornamento completo del software a tutti i clienti.
Potrebbe succedere di nuovo?
La vulnerabilità in questione è definita «vulnerabilità di tipo 0-day». Queste vulnerabilità sono particolarmente temute nel campo della sicurezza informatica, poiché riguardano punti deboli già esistenti prima della commercializzazione di un software, di un’applicazione o di un prodotto. Sono pericolose perché non sono ancora state documentate e possono essere note o meno al progettista del prodotto. Alcuni progettisti, nonostante siano a conoscenza di tali vulnerabilità, decidono comunque di immettere il prodotto sul mercato, per ragioni di natura economica o tecnica.
Si può definire questa falla come una negligenza da parte del progettista? Il link di accesso ai risultati avrebbe dovuto autodistruggersi pochi giorni dopo la consultazione da parte del paziente. Ci si può inoltre interrogare sulla crittografia dei dati.
Per cercare di ottenere ulteriori informazioni, sono state avviate diverse indagini: una interna condotta dall’AP-HP; un’altra a cura della Commissione Nazionale per l’Informatica e le Libertà (CNIL), nonché un’ultima avviata dalla Procura di Parigi.
Si conosce il colpevole?
Sembra che il responsabile sia uno studente di informatica del Var, contrario al pass sanitario, che ha giustificato il proprio gesto definendolo un’azione di protesta. Il suo obiettivo non era quello di chiedere un riscatto o di sottrarre tali dati, ma semplicemente di « dimostrare la debolezza e la fallibilità del sistema informatico dell’AP-HP », precisa l'AFP (fonte: Le Monde)
Come proteggersi?
Non è possibile contrastare un attacco a un sito web noto agendo a titolo individuale. Tuttavia, possiamo stare all'erta di fronte a potenziali minacce quali:
- La manipolazione psicologica: questi avvisi vi vengono inviati per farvi credere di essere già clienti dell'organizzazione citata, oppure per stuzzicare la vostra curiosità e indurvi a cliccare.
- Lo smishing : attacchi ai vostri telefoni cellulari tramite SMS o chiamate telefoniche
- Per quanto riguarda i modelli utilizzati, alcuni grandi marchi vengono riprodotti, ma raramente in modo identico e/o con una qualità simile; prestate attenzione ai dettagli.
- Il contenuto dell'e-mail: se le affermazioni sembrano irrealistiche, si tratta di un'offerta sproporzionata, di un guadagno ingiustificato ecc.
- Non cliccare: se un link, un’e-mail o un messaggio ti sembrano sospetti, è meglio non cliccarci sopra.
- Se tuttavia doveste scoprire che i vostri dati sono stati violati, non esitate a segnalarlo all'ANSSI e/o a sporgere denuncia presso la CNIL o su Cybermalveillance.gouv.
Avant de Cliquer offre inoltre la possibilità di sensibilizzare la vostra organizzazione attraverso la nostra soluzione.
La competenza a portata di mano
