Post

Visualizzazione dei post da Aprile, 2020

Sextortion and the city

InfoSec.news del 29 aprile 2020

Andando a cogliere lo spunto da una recente segnalazione da parte della Polizia Postale e delle Comunicazioni, bisogna ricordare che le campagne dei cybercriminali in danno degli utenti continuano ad essere comunque perpetrate anche attraverso gli schemi tradizionali del ricatto pur nel mutato contesto emergenziale e dello smart working.  Il sistema del ricatto informatico a sfondo sessuale è e rimane una delle leve estorsive più utilizzate, per effetto del quale la vittima spesso si trova costretta a pagare continuamente denaro mossa dalla paura e dalla vergogna di veder divulgati contenuti riguardanti la propria intimità. Nel caso segnalato, l’e-mail consiste in uno scam in quanto il ricattatore comunica di aver acquisito i dati di accesso di siti pornografici e della webcam, minacciando la vittima di diffondere tali informazioni a tutti i contatti e-mail e social. È evidente che il pagamento del riscatto non rappresenta una soluzione in quanto espone…

Nintendo, 160mila account compromessi “per gioco”

InfoSec.news del 27 aprile 2020

La Nintendo ha confermato di aver ricevuto una serie di attacchi sul proprio sistema NNID (Nintendo Network ID) dai primi giorni di aprile e tutt’ora in corso. Il sospetto era stato già sollevato da alcuni utenti su Twitter e Reddit, i quali avevano segnalato una serie di anomalie relative ai propri account Nintendo, con la ricezione delle e-mail di alert di login non riconosciuti e il riscontro di attività anomale negli account collegati fra cui alcuni acquisti in-game indesiderati ed il riscontro dei conseguenti addebiti, soprattutto all’interno del gioco Fortnite. Il sistema NNID è infatti utilizzato per l’accesso delle console Nintendo 3DS e Wii U, ma è anche collegato all’account principale Nintendo tramite il quale è possibile accedere agli strumenti di pagamento (PayPal, carta di credito) per effettuare gli acquisti relativi ai giochi. Dalle investigazioni condotte dalla società, la compromissione riguarda ad oggi circa 160mila account NNID e l’a…

Ransomware, un riscatto da 10 milioni di euro

InfoSec.news del 25 aprile 2020

Un attacco condotto tramite il ransomware Ragnar Locker ha colpito i sistemi del gruppo Energias de Portugal (EDP), uno dei più importanti gruppi industriali portoghesi e fra i maggiori produttori di energia elettrica in Europa e il quarto produttore mondiale di energia eolica, presente in 19 paesi, con oltre 11.500 dipendenti e 11 milioni di clienti. La nota informativa a tale riguardo fornita dal gruppo EDP chiarisce che non si è verificata alcuna compromissione della continuità operativa della fornitura energetica ma che ha riguardato solamente “alcuni servizi e attività” prontamente ripristinati e che è in corso di svolgimento un’analisi approfondita dell’incidente di sicurezza. Prima di criptare i dati dei server del gruppo, i cybercriminali risultano aver sottratto circa 10 Tb di informazioni aziendali riservate e nella nota di riscatto minacciano di renderle di dominio pubblico in caso di mancato pagamento di 1580 BTC, pari a circa 10 milioni di …

Immuni: le reazioni ci dicono che il problema della privacy è più ampio

InfoSec.news del 24 aprile 2020

Una celebre citazione di Wilde recita: “Solo le persone superficiali non giudicano dalle apparenze”.
Restiamo dunque sulle apparenze della app Immuni.  Di conseguenza è importante considerare la reazione diffusa alle notizie. È evidente che sulla app Immuni sono presenti rumors, voci di corridoio, dichiarazioni più o meno coerenti da fonti ufficiali, smentite e chiarimenti, nonché rappresentazione delle implicazioni negative in caso di mancato utilizzo “volontario”. Ad esempio, il commissario Arcuri si esprime in tal senso: “In tutto il mondo alleggerire il contenimento significa essere in grado di mappare tempestivamente i contatti delle persone; l’alternativa sarebbe non alleggerire le misure, privandoci di quote importanti della nostra libertà come in queste settimane è accaduto”.  Sono anche presenti pareri contrari, ovviamente, ma questi lentamente vengono additati sempre più spesso come “nemici della salute pubblica” rievocando memorie giacobine e…

App Immuni: davvero l’uso è “volontario”?

InfoSec.news del 20 aprile 2020

È notizia di stringente attualità l’appalto di servizio per la app Immuni, la quale è lo strumento scelto dal Governo per la gestione del contact tracing nella fase 2 dell’emergenza da COVID-19 e per cui sono state ribadite le intenzioni di renderne l’utilizzo gratuito e volontario da parte degli utenti. Seguendo le linee guida dell’EDPB con particolare riferimento al modello di app europea e sulla garanzia di consentire un’adesione volontaria da parte del singolo utente circa il suo impiego o meno, ulteriormente ribadite dall’Autorità Garante per la protezione dei dati personali, emerge un dubbio relativo a cosa realmente significhi l’impiego su base volontaria. Cogliendo spunto dalle citate linee guida, il tema della fiducia da parte dell’utente viene posta come un tema di particolare rilievo per incentivarne l’utilizzo da parte di quella soglia minima di soggetti perché ne sia garantita l’efficacia. Tale fiducia viene acquisita, ad esempio, garantend…

App anti-Covid, ecco le prime linee guida

InfoSec.news del 17 aprile 2020

Il Comitato europeo per la protezione dati (EDPB) ha tracciato le prime linee guida riguardanti il corretto sviluppo delle app per il contrasto della diffusione del Coronavirus, all’interno di una lettera indirizzata alla Commissione europea che indica alcuni punti fondamentali da seguire per definire un modello europeo. L’obiettivo che viene prospettato è la garanzia di un livello coerente ed elevato di protezione dei dati personali al fine di consentire il rafforzamento tanto dell’efficacia di ogni iniziativa e strategia per affrontare l’emergenza pandemica quanto della capacità adattiva di un modello unico europeo nei confronti dei differenti contesti in cui si troverà ad operare. L’EDPB ribadisce che la finalità esclusiva di tali app è permettere alle autorità a tutela della sanità pubblica di identificare i soggetti che entrano in contatto con altri soggetti infetti da COVID-19, comunicando agli stessi le misure di quarantena da adottare ed acquise…

Sciacalli del coronavirus: anche Wish nel mirino del Garante

InfoSec.news del 15 aprile 2020

L’Autorità Garante della Concorrenza e del Mercato ha annunciato l’avvio di un procedimento istruttorio e un sub-procedimento cautelare nei confronti di ContextLogic Inc. e ContextLogic B.V., rispettivamente società statunitense proprietaria e società olandese fornitrice dei servizi di marketplace nei confronti dei consumatori residenti nel territorio dell’Unione Europea in relazione all’attività svolta dalla piattaforma Wish. L’istruttoria ha avuto origine da alcune verifiche svolte d’ufficio nel corso di una più ampia attività di monitoraggio condotta dall’AGCM. Il settore dell’e-commerce è infatti oggetto di particolare attenzione per rilevare una serie di comportamenti abusivi generati dal particolare contesto di emergenza sanitaria, fra cui claim ingannevoli e aumento abnorme dei prezzi, onde verificare la sussistenza di eventuali responsabilità in capo ai titolari delle piattaforme. Similmente a quanto già accaduto nei confronti delle piattaforme …

Allerta phishing per gli utenti Cisco WebEx

InfoSec.news del 13 aprile 2020

Molti utenti di Cisco WebEx sono l’obiettivo di una campagna massiva di phishing che fa uso di una falsa comunicazione riguardante un “aggiornamento critico” per tentare di sottrarre le credenziali di accesso alla piattaforma. La riorganizzazione del lavoro da remoto derivante dall’attuale contesto delle misure di contenimento da COVID-19 ha portato ad un impiego ampiamente diffuso delle piattaforme per le videoconferenze online e lo scambio di file, e dunque i cybercriminali tentano di ottenere fraudolentemente le credenziali degli utenti per avere così facile accesso a dati e informazioni all’insaputa dei partecipanti alle riunioni. Coerentemente, dal momento che l’utilizzo di WebEx ha registrato una crescita fra le aziende e le organizzazioni, l’attacco a tale strumento di lavoro tramite una campagna di phishing risulta essere il frutto di un’accurata progettazione per massimizzarne l’efficacia nei confronti delle potenziali vittime e trarre in ingan…

Ecco perché la protezione dati è fondamentale anche in tempi di emergenza

InfoSec.news del 12 aprile 2020

In tempo di emergenza è naturale che emergano alcune questioni riguardanti i cosiddetti “diritti sospesi”. Gran parte del clamore mediatico ha riguardato inizialmente i diritti relativi alle libertà individuali in riferimento alle restrizioni agli spostamenti, ma superato lo stato di emergenza è prospettabile un graduale ritorno ad una situazione di normalità. Ciò che invece solleva non poche criticità è stata in seguito l’invocata sospensione del diritto alla privacy, intesa come l’auspicio di una disapplicazione diffusa delle norme a tutela della protezione dei dati personali. Senza soffermarsi sul fatto che lo stesso GDPR prevede pur nella sua applicazione un bilanciamento continuo e il contemperamento con altri diritti fondamentali, occorre comprendere il motivo per cui un’eventuale scelta di sospendere la normativa in materia di protezione dei dati personali tout-court è un pericolo per il presente e anche per il periodo successivo alla conclusione…

Sms dall’Inps su indennità Covid-19? Occhio alla truffa!

InfoSec.news del 11 aprile 2020

Dopo gli eventi che hanno coinvolto il Portale INPS , è arrivata la notizia anche dei prevedibili attacchi informatici collegati all’evento di invio massivo delle domande da parte delle partite IVA per ottenere l’indennità di 600 euro. È lo stesso Ente previdenziale che con una segnalazione ha infatti allertato su una campagna di phishing svolta attraverso l’invio fraudolento di SMS con l’invito ad aggiornare la domanda di indennità COVID-19 e inducendo così gli utenti ad installare un malware in grado di consentire l’accesso remoto dei propri dispositivi al cybecriminale. Come avevamo anticipato, l’attuale contesto di maggiore vulnerabilità degli utenti espone proprio a tali tentativi di attacco che sfruttano una ridotta percezione dei rischi e la correlata diminuzione delle cautele applicate. Infatti, il metodo di attacco rimane lo stesso: persuadere l’utente ad un “clic” dannoso, ingannando tramite un senso di urgenza (e quale urgenza maggiore del do…

Coronavirus, anche l’FBI lancia l’allarme sui cyberattacchi

InfoSec.news del 10 aprile 2020

L’Internet Crime Complaint Center (IC3) dell’FBI ha ricevuto fino al 30 marzo oltre 1200 segnalazioni riguardanti truffe online a tema Coronavirus e andando ad analizzare l’evoluzione delle campagne di attacco svolte durante le ultime settimane i cybercriminali hanno condotto tentativi massivi di phishing, attacchi DDoS contro agenzie governative, attacchi ransomware nei confronti di strutture mediche, creato siti web ingannevoli.
Analizzando i report e le segnalazioni, l’FBI ha previsto un trend crescente del cybercrime e individua come prossimi probabili obiettivi i settori del lavoro da remoto e dei servizi scolastici e educativi. La rapida transizione digitale del mondo del lavoro e dell’educazione, infatti, derivante per lo più dall’applicazione di misure restrittive per evitare la diffusione dell’epidemia da COVID-19, ha aumentato in maniera significativa il numero di dispositivi e di utenti connessi. In molti casi i sistemi sono stati dunque predi…

Dal data breach alla sanzione? Solo canti di sirene

InfoSec.news del 8 aprile 2020

Nonostante il fascino di alcune proposte circa la non applicazione di sanzioni pecuniarie in caso di notifica di data breach, alcune delle sanzioni irrogate dalle autorità di controllo hanno avuto origine negli accertamenti collegati ad un evento di violazione dei dati pur tempestivamente notificato. L’inattuabilità di un metodo di “tana libera tutti” in seguito alla notifica di data breach è presto detta: deresponsabilizzerebbe i titolari del trattamento dall’applicare i principi di protezione dei dati sin dalla progettazione di cui all’art. 25 GDPR, ponendosi in contrasto con il sistema di garanzie e tutele sostanziali del Regolamento e il principio di accountability. Per sgomberare i dubbi dalla fascinosa tentazione del canto delle sirene, inoltre, è bene chiarire che in caso di notifica di violazione dei dati non vi è alcun automatismo sanzionatorio, ma anzi l’art. 83 GDPR, rubricato “Condizioni generali per infliggere sanzioni amministrative pecunia…

Dpo Inps, se ci sei batti un colpo!

InfoSec.news del 8 aprile 2020

Meno grave dell’ipotesi paventata dagli 883 con l’uccisione dell’Uomo Ragno, la notizia della cessazione dell’incarico del DPO dell’INPS (si ipotizza: per pensionamento) al 30 o 31 marzo si sta diffondendo in modo altrettanto allarmante sia su alcune testate che attraverso i canali social, LinkedIn in primis. Facendo una ricerca della designazione del DPO, si trova la determinazione n. 28 del 21 marzo 2018, che però nulla dice circa la scadenza di tale incarico. Nella comunicazione a riguardo all’interno del sito, aggiornata al 30 marzo 2020, sono riportati il nominativo e i dati di contatto e andando ad approfondire la struttura organizzativa, nella pagina dedicata all’Ufficio del Responsabile della Protezione dei Dati[4] sono pubblicate le attività svolte da tale funzione, senza alcuna notizia circa cessazioni o modifiche. Anche la pagina dedicata agli uffici centrali, aggiornata al 30 marzo 2020, non riporta alcuna modifica. Facendo una ricerca del no…

Coronavirus, anche la ricetta diventa smart

InfoSec.news del 4 aprile 2020

L’Autorità Garante per la protezione dei dati personali, al termine di una procedura di consultazione preventiva ai sensi dell’art. 36.4 GDPR avviata dal Ministero dell’Economia e delle Finanze, ha espresso parere favorevole in relazione allo schema di decreto relativo alle modalità di consegna della ricetta medica alternative alla stampa del promemoria cartaceo. La normativa di riferimento in materia di dematerializzazione delle ricette mediche risale al decreto del Ministero dell’Economia e delle Finanze del 2 novembre 2011, ma fino all’attuale emergenza epidemiologica non erano mai state individuate le alternative alla stampa del promemoria. Invero, dal 2015 il Garante aveva segnalato più volte al Ministero della Salute che la mancanza di una definizione di tali modalità aveva generato iniziative diffuse di fai-da-te da parte dei medici per la consegna dei promemoria, dando luogo a pratiche disomogenee e, soprattutto, con rilevanti criticità di sicure…

Attacchi hacker agli hotel Marriott: cosa possiamo imparare?

InfoSec.news del 3 aprile 2020

La catena di hotel Marriott è stata colpita da un secondo attacco hacker che ha portato ad un consistente security breach e che ha coinvolto i dati di oltre 5 milioni di utenti iscritti alla Loyalty App. Il precedente incidente di sicurezza ha invece riguardato sempre un attacco che ha portato però al furto di 382 milioni di registrazioni degli ospiti (dati di contatto e relativi alla prenotazione), nonché la sottrazione di oltre 25 milioni di dati relativi a passaporti (5 milioni non cifrati e 20 milioni cifrati) e dei dati cifrati riferibili a 8 milioni di pagamenti (numeri di carta di credito). I dati esposti all’ultimo attacco riguardano dati di contatto, dati anagrafici, informazioni relative alla Loyalty App ed ulteriori informazioni relative alla prenotazione, che possono spaziare dall’azienda ai servizi connessi (es. adesione a programmi fedeltà o promozioni) alle preferenze riguardanti il pernottamento e l’utilizzo dei servizi degli hotel. L’att…