In queste ore, un attacco informatico ha coinvolto una catena di approvvigionamento di servizi cloud, riportando danni agli utenti delle più comuni app per trasporto pubblico e pagamento parcheggi.
My Cicero, ATM, Busitalia, TUAbruzzo sono alcuni dei nomi di app che gestiscono trasporti locali e parcheggi in giro per l’Italia.
Indice degli argomenti
Violazione dei dati personali, cosa è successo?
La comunicazione arriva direttamente dagli enti finali che erogano il servizio di trasporto al cittadino, con comunicati stampa che stanno popolando i siti Web coinvolti, come per esempio quello presente sulla homepage di MyCicero.
Tuttavia, il problema è più complesso. Dalle prime informazioni che possiamo ricavare, lo scenario di attacco è quello di compromissione della supply chain, cioè si colpisce un sistema centrale che eroga servizi per tanti clienti per colpire a catena appunto, tutti i clienti presenti nel perimetro del fornitore principale.
Pluservice nel mirino
Inizialmente era circolata la notizia della compromissione di un fornitore terzo di servizi cloud, WIIT S.p.A.. La stessa WIIT, però, in riferimento alle prime notizie relative all’attacco hacker che ha coinvolto la piattaforma MyCicero gestita da Pluservice S.r.l. e gli archivi dati delle aziende utilizzatrici della piattaforma (es. ATM Milano), ha chiarito con un comunicato stampa di essere “esente da ogni responsabilità in relazione all’attacco e che i servizi Cloud di WIIT non sono stati oggetto di alcun attacco informatico, specificando che nessun’altro cliente di WIIT è stato né direttamente né indirettamente coinvolto”.
Il comunicato stampa specifica, inoltre, che “WIIT fornisce a Pluservice esclusivamente l’infrastruttura su cui è ospitata la piattaforma MyCicero e provvede quindi alla gestione dei servizi tecnologici di base (c.d. private cloud), senza fornire alcun servizio di sicurezza e prevenzione da attacchi cyber”.
“Pertanto”, si legge ancora nel comunicato, “la gestione applicativa della piattaforma nonché l’attività di cyber security a protezione della piattaforma e dei domini sono svolte da Pluservice, direttamente o mediante terzi diversi da WIIT”.
La stessa WIIT fa sapere, infine, che “dopo aver identificato attraverso i propri sistemi di monitoraggio comportamenti anomali sulle infrastrutture ospitate, ne ha ricondotto l’origine al perimetro di Pluservice e ha quindi suggerito al cliente l’immediato isolamento e sospensione del servizio MyCicero, cosa che è stata attuata tempestivamente. La strategia di riavvio della piattaforma e del servizio è stata decisa in autonomia dal cliente, il quale ha manlevato formalmente e integralmente WIIT da tutti i possibili rischi e danni conseguenti”.
Quali dati sono stati compromessi?
Al momento non sono ancora apparse rivendicazioni o leak di questi dati online che possano dimostrare l’entità del danno. Però i responsabili del trattamento, nei loro comunicati assicurano la compromissione di dati anagrafici dei cittadini utilizzatori: nomi, cognomi, indirizzi e-mail, numeri di telefono ed eventuali titoli di mobilità, ove acquistati.
Allo stesso tempo si fa sapere che non sono stati coinvolti dati finanziari relativi a metodi di pagamento associati dall’utente a tali servizi, in quanto gestiti da fornitori differenti.
Ricordiamo che gli effetti futuri, per questa tipologia di dati personali compromessi, sono gravi per tutti gli utilizzatori, in quanto dati caratterizzati da una univocità nel tempo. I nostri indirizzi, nomi e cognomi, così come le targhe delle nostre auto non sono dati che possiamo cambiare da un giorno all’altro senza problemi. Restano con noi per tanto tempo oppure per tutta la vita.
Il fatto di non aver coinvolti dati finanziari potrebbe rassicurarci nell’immediato per truffe di breve durata, giusto il tempo di andare in banca a sostituire la carta di credito compromessa e denunciare le eventuali movimentazioni sospette, invece avere dati personali anagrafici, in mano ad individui non autorizzati, ci esporrà per tanto tempo a continui attacchi di ogni genere, dal phishing alle frodi telefoniche, falsi bollettini recapitati a casa ecc.
