16\ L'attacco hacker subito da Aruba
L'azienda italiana ha comunicato che ha subito il furto dei dati amministrativi di più di 5 milioni di utenti. L'ha comunicato male e con qualche espediente nel tentativo di sminuire la situazione.
Qualcuno di voi ricorderà di aver ricevuto una email simile il 28 aprile 2021:
Aruba invitava, o meglio, obbligava a reimpostare la password a tutti i propri clienti. Se ne parlò decisamente tanto proprio perchè tutti gli utenti di aruba, tra cui io, e altri 5,4 milioni di persone (questo è il numero di clienti dichiarato sul loro sito) sono stati impattati.
Il tutto senza spiegazioni, sia chairo. Nulla.
Questa settimana
Il 15 luglio sempre gli stessi utenti riceviamo una email1 che recita:
Ovvero ben 5 giorni prima del reset forzato delle password è stato sfondato il sistema di gestione di Aruba. Ci hanno messo 5 giorni ad accorgersene e correre ai ripari.
Capite bene che 5 giorni nell’informatica sono un eternità.
Cosa è successo
Ecco, l’email di Aruba se l’avete letta è scritta benissimo. E’ scritta cosi bene che non è possible credere che sia stata scritta di getto (dopotutto si parla di 3 mesi fa) e ogni parola è stata pensata e ripensata molto attentamente. Il tutto per ottenere un unico, grande scopo: non farsi notare e sperare di farsi cancellare. Potrete pensare: non facevano prima a non mandarla allora? No, perchè il Garante della Privacy li ha imposto di informare i propri clienti del data breach. Avrebbero subito una multa salatissima, e a detta di molti, la subiranno ugualmente dato il pessimo comunicato che hanno prodotto.
Quindi: Non l’avete letta nonostante siate clienti di Aruba, oppure credete di non averla ricevuta? Normalissimo: è stata scritta con tutti gli accorgimenti possibili per essere cestinata ancor prima di essere letta.
Partiamo dall’oggetto dell’email: COMUNICAZIONE. Niente di più generico, chi è cliente Aruba inoltre lo sa che si ricevono decine di comunicazioni al mese per ogni questione: scadenze di abbonamenti, rinnovi, pubblicità e altre amenità, tutte comunicqazioni prontamente cancellate prima ancora di venire lette. La speranza dell’ufficio di comunicazione di Aruba è manifestatamene quella di finire cestinati. Se avessero titolato “Comunicazione di data breach, i suoi dati anagrafici e di contatto in nostro possesso sono stati oggetto di furto informatico“ sarebbe stato sicuramente un titolo più degno di attenzione e più corretto.
Poi nei primi 4 lunghi paragrafi spiega quanto sono bravi nel gestire la sicurezza informatica nonostante abbiano subito un attacco, senza assolutamente spiegare cosa effettivamente abbia comportato l’attacco. Semplicemente sperano che il lettore si annoi di fronte a terminologia specifica e abbandoni la lettura cestinando. Ancora una volta, questo metodo di comunicazione è riprorevole, perchè assolutamente voluto.
Poi arriva il capolavoro di italiano:
Occhio a quella virgola, quella virgola cambia completamente il significato della frase e della comunicazione. A leggere velocemente sembra che i dati di nome, cognome ecc… non siano stati impattati dagli attacchi, mentre invece stanno scrivendo il contrario.
Vi spiego meglio: gli obiettivi della sicurezza informatica sono 3, integrità, disponibilità e riservatezza dei dati. Scrivervi che i vostri dati non hanno avuto problemi di integrità e disponiblità cosa significa? che implicitamente hanno avuto un problema di riservatezza. Anche se è un metodo ci comunicarlo da stigmatizzare. Anche perchè quanti di voi sapevano che il terzo elemento mancante fosse la riservatezza?
Quindi se siete clienti Aruba, ci sono persone non meglio definite, probabilmente in Cina, USA o Russia che dispongono del vostro:
Nome e cognome
codice fiscale e quindi anche la data di nascita e il luogo di nascita
indirizzo completo di residenza e fatturazione
telefono
indirizzo email
indirizzo PEC
Vi avevo già accennato a questo problema nelle prime puntate di questa newsletter, qui.
E’ un problema?
E’ un bel problema. Perchè prima di tutto, sembra stupido ma non lo è, ora c’è un database indicante una informazione su di voi non scontata e non nota a chi non vi conosce: il vostro numero di telefono e l’indirizzo email.
Cercate di seguirmi: il vostro numero di telefono non è segreto. E’ una sequenza di numeri, dopotutto. Il segreto sta nel sapere che quel numero di telefono appartenga proprio a voi. Non dovrebbe essere cosa di tutti i giorni di ricevere una telefonata da sconosciuti che chiedono di parlare proprio con voi, facendo nome e cognome: chi gli ha rivelato l’associazione tra il numero e il nome del proprietario? l’hanno trovato scritto nel bagno di un autogrill?
Stessa cosa per l’email. Quando vi capita di registrarvi in vari siti vengono richiesti proprio quei dati che sono stati trafugati ad Aruba: e se anche il gestore volesse fare una verifica incrociata sull’intestatario dell’utenza telefonica, avrebbe un riscontro assolutamente positivo.
Cosa ci salva, forse…
La verifica del pin o del link tramite SMS o email. Cioè il fatto che normalmente i servizi moderni richiedono queste ulteriori prove prima di aprire un account.
Se siete clienti Aruba e in questi mesi sono arrivate strane email o sms di verifica PIN o richiesta di click su link, spero non li abbiate cliccati e se lo avete fatto, risalite a quale sito appartengono, se effettivamente si tratta di un servizio a voi sconosciuto vuol dire che hanno aperto un account a vostro nome. Provate a fare login con la vostra email e attivando la procedura di reset password tramite sms o email e una volta ultimata la procedura, chiedete la rimozione dell’account.
L’Ultima spiaggia
Se il servizio/sito è erogato all’interno dell’Unione Europea potete invocare il GDPR e il diritto di cancellazione. Cercate la pagina della Privacy Policy e cercate al suo interno l’email a cui scrivere per richiedere la rimozione completa, definitiva e immediata dei vostri dati in loro possesso. Sono obbligati a procere in tal senso entro 30 giorni. Dalla vostra parte vi chiederanno di provare, giustamente, la vostra identità. Se sono in italia, usate la PEC.
Vedremo più avanti questa storia del diritto alla cancellazione dei dati, che come capite, è molto utile.
Ciao e buone vacanze
contenuto completo:
Gentile cliente,
desideriamo informarla che il 23 aprile scorso abbiamo rilevato e bloccato un accesso non autorizzato alla rete che ospita alcuni dei nostri sistemi gestionali, ma nessun dato è stato cancellato né alterato.
Precisiamo inoltre che nessun sistema di produzione ed erogazione dei nostri servizi è stato coinvolto, poiché completamente separati.
Abbiamo subito attuato una serie di misure interne ed esterne fra cui informare le Forze dell’Ordine ed il Garante per la Protezione dei Dati Personali. A conclusione di tutte le nostre analisi, abbiamo ritenuto doveroso informarla dell'accaduto seppur non sia richiesta alcuna azione da parte sua.
Diamo grande importanza alla sicurezza informatica e facciamo ingenti investimenti in tecnologia, strumenti ed organizzazione, ma in questa circostanza non siamo riusciti a prevenire l'evento. Si tratta purtroppo di un periodo molto particolare, nel quale gli attacchi informatici, sempre più sofisticati, sono in forte aumento e stanno colpendo globalmente aziende ed organizzazioni pubbliche e private di ogni livello.
Di seguito, maggiori informazioni:
I dati presenti nei sistemi interessati, la cui integrità e disponibilità non sono state impattate in alcun modo, sono quelli anagrafici di fatturazione (nome e cognome, codice fiscale, indirizzo, città, CAP, provincia, telefono, indirizzo email, indirizzo PEC) e i dati di autenticazione all’area clienti, quali login e password, queste ultime protette da crittografia forte, e comunque prontamente disabilitate, pertanto in ogni caso inutilizzabili.
Non sono stati in alcun modo interessati i dati di pagamento (es. carte di credito), né i servizi dei clienti (es. hosting, cloud, email, PEC…) e tutti i dati in essi contenuti.
La disabilitazione delle password di accesso all’area clienti è stata eseguita senza preavviso come da procedura di sicurezza standard. Ci dispiace se questo può averle causato qualche disagio, ma ci ha consentito di azzerare ogni tipo di rischio seppure potenziale. Se non ha già provveduto a ripristinare la password a seguito dell'evento, il sistema le chiederà di sceglierne una nuova al primo accesso all'area clienti. Le ricordiamo che non c’è alcuna urgenza nel completare l’operazione, in quanto il sistema è già in sicurezza.
Ad ulteriore cautela anche al fine di difendersi da comuni truffe digitali, le raccomandiamo di:
scegliere sempre password diverse per ciascun servizio utilizzato e cambiarle periodicamente;
prestare particolare attenzione a email o PEC di dubbia provenienza o il cui contenuto dovesse generare sospetti;
se il contenuto di un'email sembra sospetto, inatteso o il mittente è sconosciuto, evitare di cliccare sui link e non scaricare gli allegati;
tenere presente che il personale Aruba non chiede mai via email, SMS o telefonicamente di comunicare le proprie credenziali di accesso ai servizi (username/password) o i riferimenti dei propri metodi di pagamento elettronici (es. numero carta di credito o account PayPal).
Le confermiamo che non è necessaria alcuna azione da parte sua, ci scusiamo per l’accaduto e restiamo a disposizione per ulteriori informazioni o per chiarimenti all’indirizzo [email protected]
Cordiali saluti
_____________________________________________
Aruba S.p.A.