fb

Ransomware, l’impatto degli attacchi in crescita

by

Secondo i report degli ultimi mesi gli attacchi ransomware stanno calando per quantità ed aumentando per impatto. I criminali informatici sono meno interessati agli attacchi indiscriminati con i quali possono puntare a richieste di riscatto di importo ridotto ma puntano sempre di più ad attacchi mirati ad enti studiati spesso a lungo in modo da sferrare attacchi rapidi e puntare a pagamenti rilevanti. Questa tendenza non è solo italiana (si veda anche il rapporto CLUSIT 2020) ma si trova in tutti i principali paesi. Nel sito bleepingcomputer.com, una delle più note testate online in materia di minacce e sicurezza informatica, nel report periodico “The Week in Ransomware” le segnalazioni dei principali attacchi del momento riguardano, come spesso negli ultimi mesi, Istituti Scolastici, Istituti Sanitari e aziende Hi Tech.

Sopra Steria, importante azienda francese di servizi IT, in una nota del 25 novembre ha affermato di attendersi tra 40 e 50 milioni di euro di perdite a causa di un attacco informatico in ottobre. Il sito afferma che l’attacco sia stato effettuato con il medesimo ceppo di ransomware che ha colpito UHS, un gigante della fornitura di servizi per strutture sanitarie con 90.000 dipendenti inserita nella Fortune 500 list. Alla fine di settembre, diversi ospedali in almeno cinque stati degli Stati Uniti sono rimasti senza accesso ai computer ed ai telefoni e sono stati costretti a ridistribuire i pazienti in arrivo e quelli in attesa di cure urgenti in altri ospedali vicini. I dipendenti hanno raccontato che tentando di accendere i computer, questi si spegnevano immediatamente da soli.

Il 28 novembre il costruttore di chip per automazioni industriali e IoT (compresi servizi sanitari) Advantech è stato colpito da un ransomware. I criminali hanno chiesto un riscatto di oltre 12 milioni di dollari per sbloccare i computer e rimuovere dai loro server i dati rubati. Come sempre in questi casi, anche pagando il riscatto non vi è alcuna certezza che i criminali vogliano o siano in grado di mantenere la parola data.

Oltre al danno per l’interruzione delle attività, al danno di immagine ed all’eventuale riscatto, non è immediatamente quantificabile il danno dovuto alla violazione dei dati personali e dei dati aziendali in questi casim, non sempre è chiaro quanti dati sono stati prelevati nel corso degli attacchi né si possono avere certezze su quello che intenderanno fare gli attaccanti con questi dati. Sempre più spesso i dati sottratti vengono rivenduti nel dark web.

Un aspetto sconcertante di questi attacchi è che, almeno nei primi due casi, autorevoli analisti affermano che siano nati da e-mail di phishing, attacchi spesso non irrestistibili contro i quali molte aziende fanno poco.

Telemarketing in violazione al GDPR: sanzione del Garante

by

Il Garante per la Protezione dei Dati Personali ha sanzionato Vodafone per oltre 12 milioni di euro dopo avere appurato un trattamento illecito di dati personali di milioni di utenti con finalità di telemarketing. Il Garante ha anche ordinato alla società di adottare una serie di misure per rendere conformi i trattamenti. La decisione segue i provvedimenti prescrittivi e sanzionatori presi per motivi analoghi in data 8 maro 2018 e 5 luglio 2018 nonché le segnalazioni ed i reclami che il Garante ha ricevuto da dicembre 2018 al giugno 2020, aprendo 438 fascicoli nei confronti di Vodafone prevalentemente riguardanti attività di telemarketing.

L’istruttoria del Garante ha rilevato come i trattamenti siano stati svolti in violazione dell’obbligo del consenso e dei principi di protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita di cui all’art. 25 del GDPR. Un gran numero di contatti sono stati acquisiti da partner esterni i quali a loro volta avevano ricevuto tali liste da altre aziende, trasferendo i contatti a Vodafone senza il necessario consenso degli utenti. Vodafone, afferma il Garante, avrebbe dovuto attuare controlli sull’esistenza e la correttezza di tali consensi. In generale il Garante ha ordinato l’adozione di sistemi che consentano di com provare che i trattamenti per finalità di telemarketing avvengano in conformità alle disposizioni in materia di consenso, dovrà dimostare che i contatti siano attivati solo in seguito di chiamate promozionali effettuate dalla sua rete di vendita, attraverso numerazioni censite e iscritte al ROC (Registro unico degli Operatori di Comunicazione) e dovrà irrobustire le misure di sicurezza finalizzate ad impedire gli accessi abusivi al database dei clienti.

La sanzione a Vodafone fa seguito ai provvedimenti recenti nei confronti di Wind Tre SpA (compreso quello collegato nei confronti di Merlini Srl) e di Iliad SpA.

(fonte: Garante Privacy)

APP gratuite, i dati dei minori a rischio

by

La facilità di accesso alle applicazioni per smartphone e tablet, la loro gratuità ed i deboli controlli espongono gli utenti, specie i minori, a rischi evidenti. Un recente rapporto di Federprivacy evidenzia come su 500 applicazioni di giochi dedicate ai minori, il 93,8% contenga tracker che permettono la raccolta sistematica delle attività online degli utenti e quasi la metà effettuino operazioni di trattamento di dati in paesi non sicuri per la privacy. In più, l’87% delle software house produttrici non hanno un Data Protection Officer, quella figura di riferimento prevista dal GDPR ed obbligatoria nei casi in cui i trattamenti comprendano il monitoraggio degli interessati. La ricerca riguardava applicazioni presenti nel Play Store di Google, liberamente scaricabili e, nel 76% dei casi, indicate come “PEGI 3”, ovvero adatte a bambini dai 3 anni in poi. La quasi totalità delle app (454) contiene avvisi pubblicitari e, al contempo, tracker di profilazione in modo da proporre ai bambini pubblicità mirate in base alle loro preferenze, 459 su 500 contengono tracker di Google, 273 hanno tracker di Facebook, in casi residuali anche tracker di Amazon (5%) e di Microsoft (3%).

Il Garante italiano ha pubblicato una semplice guida per utilizzare le “App” con consapevolezza, proteggendo i propri dati. Si tratta di un insieme di abitudini che possono essere tenute presenti anche in casi più ampi, quando si forniscono i propri dati per qualsivoglia motivo.

  • quanti e quali dati vengono raccolti?
  • chi tratterà i dati e per quali finalità?
  • per quanto tempo verranno conservati i miei dati?
  • chi raccoglie i miei dati li può trasmettere ad altri? Per quale motivo?
  • Per il download di un’app devo registrarmi? In questo caso attenzione a fornire solo i dati strettamente necessari al servizio richiesto;
  • Se una app chiede l’accesso ai dati della memoria del mio telefono o alle immagini, o ai miei contatti, alla fotocamera, alla posizione ecc… mi devo chiedere perché. Se non trovo una risposta accettabile nell’informativa, meglio evitare l’installazione;
  • Porre particolare attenzione alle app che modificano le immagini come, ad esempio, invecchiare i volti, inserire la propria faccia su corpi altrui, trasformare un uomo in donna o viceversa: molte di queste applicazioni acquisiscono e salvano le nostre immagini che potrebbero essere usate da criminali per fini dannosi (vedi il fenomeno “deepfake”, la creazione di foto e video falsi a partire da immagini vere). Inoltre dai volti è possibile risalire a dati biometrici utilizzati a scopo di riconoscimento, dati che potrebbero essere ceduti o rubati (a questo LINK la infografica del Garante da tenere presente quando si decide di condividere le proprie immagini online).

Se si utilizzano app di dating è bene leggere attentamente come verranno trattate le informazioni ed a chi potranno essere trasmesse, il rischio è rendere noti aspetti della nostra vita privata che non desideriamo diffondere. Anche nel caso di app che monitorano le attività sportive è bene avere chiaro quali dati verranno trattati, quali condivisi con terzi, per quanto tempo verranno conservati e come potremo ottenerne la cancellazione. Tipicamente queste applicazioni registrano la posizione, il battito cardiaco, a volte permettono di inserire anche quello che mangiamo e di condividere il tutto con i nostri contatti o con tutti, diffondendo in questo modo informazioni che potrebbero essere usate contro di noi.

Ultimo pericolo, non meno importante, è la diffusione dei malware negli app store. Prendere un malware nel proprio smartphone, come nel proprio PC, può avere le conseguenze più varie ed imprevedibili. Per proteggersi (quantomeno nella maggiorparte dei casi) anche in questo caso si dovrebbero seguire alcune regole:

  • installare un software anti-malware (anche su tablet e smartphone);
  • utilizzare password di accesso sicure ed aggiornate periodicamente;
  • utilizzare un blocco schermo e non disattivare i sistemi di sicurezza previsti dal dispositivo;
  • non scaricare app da marketplace non ufficiali.

(fonti: www.federprivacy.org, www.gpdp.it)