Si fa presto a parlare di cybersecurity.
Stavolta i pirati informatici hanno preso di mira proprio il sito dell’associazione italiana dei professionisti della privacy e della protezione dei dati personali, Federprivacy.
Il sito web di Federprivacy risulta inaccessibile dal 13 novembre: se oggi compare la scritta “in manutenzione” ieri appariva una schermata nera (vedi foto di copertina) com la rivendicazione degli aggressori informatici. Questa violazione ha un nome preciso: Defacing. “Con il termine Defacing (in italiano con defacciare) si intende la modifica illecita della home page di un sito web (la sua “faccia”) o la sostituzione di una o più pagine interne. Questo tipo di attacco è illegale in tutti i Paesi del mondo”, spiega il portale Cybersecitalia.
Dietro l’attacco c’è la cyber gang Alpha Team, che non solo ha violato il sito web di Federprivacy ma anche il profilo social del presidente Nicola Bernardi, pubblicando da quest’ultimo una serie di post con email e relative password in chiaro di alcuni associati.
Ed è il caso di dire “oltre il danno la beffa”: proprio dal profilo Linkedin del presidente di Federprivacy Bernardi gli hacker hanno diffuso il link dei dati violati degli associati corredato da una frase eloquente: “Questo è il luogo delle aziende che si dichiarano esperte in un campo di cui non sanno nulla”. Sempre dal profilo Linkedin di Bernardi un altro post recita: “Sostiene di far sentire gli altri al sicuro e tiene corsi di sicurezza informatica. Anche lui è stato hackerato”.
Ma “a preoccupare non è lo smacco ad un “club” di addetti ai lavori che per vocazione o per professione si occupano di privacy. L’aggressione digitale in questione offre numerosi spunti di riflessione che dovrebbero riguardare chiunque e non solo le vittime di turno”, ha commentato oggi il generale Umberto Rapetto su Giano.news.
Tutti i dettagli.
COSA È SUCCESSO AL SITO DI FEDERPRIVACY, COLPITO DAGLI HACKER
Sul sito web di Federprivacy, irraggiungibile da ieri, gli aggressori che si qualificano come membri di Alpha Team, hanno scritto: “Questa è la prova dell’accesso al vostro server. La vostra infrastruttura informatica è stata compromessa, il che ci ha permesso di accedere al vostro server e ai vostri database. Si prega di contattare z0rg@airmail.cc”
E concludono con un laconico: “MANTENIAMO SEMPRE LE NOSTRE PROMESSE”.
L’ATTACCO DA “CASA NOSTRA”
In primo luogo torna a crollare il mito della minaccia che arriva da chissà dove. L’attacco in questione è roba di casa nostra o, a giocare con i cambi di vocale della Settimana Enigmistica, di cosa nostra. Frasi e messaggi apparsi sugli schermi dei visitatori del sito di Federprivacy o nelle bacheche virtuali dei contatti di Nicola Bernardi sono scritti in un ottimo italiano” osserva ancora il generale Rapetto a proposito di Alpha Team aggiungendo che “i soggetti in questione non sono nuovi a scorribande sul territorio italiano e una intervista del giornale online Red Hot Cyber lascia pensare che Alpha Team abbia radici consolidate qui da noi. L’inquietante colloquio con il leader di questa organizzazione merita di essere letto, senza fretta e possibilmente escludendo qualsivoglia coinvolgimento emotivo così da fare valutazioni il più possibile oggettive”.
LA RIVENDICAZIONE DI ALPHA TEAM SUL PROFILO DEL PRESIDENTE BERNARDI
Sempre sul profilo LinkedIn del presidente di Federprivacy, gli aggressori stanno rispondendo ai commenti degli utenti e pubblicano nuovi post. Come questo in cui si spiega il motivo del cyberattacco e la non volontà di pubblicare tutti i dati a condizione che si arrivi a “un accordo che soddisfi entrambe le parti”.
“Caro Nicola Bernardi, sono Z0RG e sono il leader dell’Alpha Team.
Abbiamo trovato alcune grosse falle in Federprivacy.org e siamo entrati nel portale per fare una copia di tutti i vostri dati.
Lo facciamo perché è impensabile che chi protegge i dati degli altri non protegga i propri.
Non vogliamo rendere pubblica l’enorme quantità di dati che vi appartengono e che ora sono in nostro possesso, né venderli alla concorrenza, né utilizzare i vostri profili social e le vostre e-mail per danneggiare altri.
Vogliamo invece che la questione sia risolta nel modo più discreto possibile, in modo che, una volta soddisfatte le nostre richieste, possiamo cancellare tutto ciò che è in nostro possesso e inviarvi un rapporto contenente tutte le vulnerabilità che abbiamo scoperto nel vostro sistema, in modo che possano essere corrette.
Ovviamente, per farlo, vorremmo parlare con lei e trovare un accordo che soddisfi entrambe le parti.
Se siete d’accordo, rispondete a questo messaggio e discuteremo civilmente.
Non vogliamo davvero rivelare tutto e dare una cattiva immagine di voi in Italia. Perché sarà difficile per i vostri clienti fidarsi di nuovo di voi.
Ci affidiamo alla vostra saggezza”.
L’OBIETTIVO DELLA CYBER GANG
Sempre ieri, dal profilo Linkedin di Bernardi Alpha Team ha scritto che “Noi dimostriamo che chi si occupa di vendere o promuovere beni o servizi per la sicurezza dei dati non protegge a sua volta i dati che ha in custodia da altri. e questo è grave, perche un associazione come Federprivacy raccoglie molte decine di migliaia di euro ogni anno dagli iscritti e non può non proteggere i loro dati investendo un po di quel denaro nella sicurezza che tanto declamano proponendo i loro servizi?”
CHE COS’È FEDERPRIVACY
Costituita nel 2008, con iscrizione presso l’anagrafe del Ministero delle Finanze in data 27 marzo 2008, Federprivacy si occupa di consulenza nelle materie della privacy, protezione dei dati, e della security.
CHE COSA FA L’ASSOCIAZIONE
L’associazione offre i seguenti servizi: servizi di consulenza forniti da professionisti esperti di privacy, data protection, e security, finalizzati a progettare, realizzare, verificare e mantenere conformi alla normativa vigente i sistemi per la gestione dei dati personali, assicurandone la sicurezza e la tutela degli stessi.
Il Codice Ateco 2007 degli associati è 70.22.01 (Attività di consulenza per la gestione della logistica aziendale). Inoltre, l’associazione Federprivacy è titolare del marchio “consulente privacy”, depositato presso il Ministero dello Sviluppo Economico al n. REG. 0001428469, e ha inoltre l’autorizzazione a tempo indeterminato all’ utilizzo del marchio “privacy officer”, di cui al n. REG. 0001530053 presso lo stesso Ministero dello Sviluppo Economico.
IL VERTICE
Oltre al già nominato Presidente, Nicola Bernardi Malatesta, c’è Davide Sottili Tesoriere in qualità di segretario generale e Magdalena Todor, Ettore Pasanisi e Vittorio Lombardi come consiglieri.
Tra le varie esperienze nel settore privacy annoverate dal presidente, si legge anche sul sito di privacy simposium che Nicola Bernardi ha collaborato come consulente con numerose aziende per l’adeguamento alla normativa privacy fin dalla prima legge italiana n. 675/1996.
LE QUOTE
Per accedere all’associazione in qualità di soci è richiesto: il versamento di 56 euro l’anno per Socio Ordinario e 102 euro l’anno per il Socio Promotore. Al 2014 risultavano iscritti 882 associati (dato che non possiamo aggiornare al momento visto l’inaccessibilità del sito web di Federprivacy).
IL TEMPISMO DELL’ATTACCO
A sottolineare ancor di più il messaggio dei criminali informatici di Alpha Team che accusano Federprivacy di “vendere o promuovere beni o servizi per la sicurezza dei dati” ma “non protegge a sua volta i dati che ha in custodia da altri” è il tempismo con le attività dell’associazione.
In questi giorni infatti è in promozione il cyber & privacy forum 2023, che si terrà a Verona il prossimo 29 novembre “allo scopo di favorire lo sviluppo di una cultura comune incentrata sulla sicurezza e sulla protezione dei dati”. L’evento è organizzato da Ethos Media Group in collaborazione con Federprivacy, al quale è affidata la direzione scientifica dell’appuntamento congressuale.
L’obiettivo dell’incontro è “fornire risposte concrete e aggiornare i professionisti della sicurezza, in tutti i settori e a tutti i livelli – CISO, Security manager, Risk manager, Data Protection Officer, IT manager, giuristi d’impresa, Dirigenti d’azienda, Funzionari di Comuni, Enti, Forze dell’Ordine, Consulenti, System Integrator, installatori, impiantisti”.
COSA SCRIVEVA BERNARDI NEL 2019
Infine, l’attacco ad opera di Alpha Team nei confronti di Federprivacy e di Nicola Bernardi suona ancora più duro rileggendo ciò che scriveva nel 2019 presidente di Federprivacy a proposito dei primi dati raccolti da un rapporto di Federprivacy sull’adeguamento dei comuni italiani al Gdpr e i rischi cyber, sul Sole 24 Ore.
“Le connessioni non sicure basate sul vecchio protocollo «http» e l’assenza di informazioni sui Dpo preoccupano perché così i siti (e i dati e le informazioni in essi contenuti) sono esposti agli attacchi degli hacker e inoltre la mancata pubblicazione dei dati di contatto del data protection officer impedisce di fatto ai cittadini di esercitare i diritti che sono loro riconosciuti dal Gdpr, spiegava all’epoca Bernardi.
Non resta quindi che attendere le spiegazioni da parte di Federprivacy su quanto accaduto al suo stesso sito web.
