Attacco hacker al Comune di Taggia, divulgati sul web documenti e dati personali
"I dati inizialmente crittografati sono stati poi sottratti e divulgati sul web, con grave violazione della privacy di tutti gli interessati"
Il sindaco mette a disposizione gli uffici per chi vuole informazioni
“Nonostante le ripetute richieste di pagamento di ingenti somme di denaro a titolo di riscatto, il Comune ha mantenuto un atteggiamento di chiusura e contrasto dell'attività criminale. A seguito di ciò, i dati inizialmente crittografati sono stati successivamente sottratti e divulgati sul web, con grave violazione della privacy di tutti gli interessati”.
A quasi un mese dall’attacco hacker al Comune
da parte di ignoti che hanno criptato i dati della rete con un ransomware, chiedendo poi un riscatto di 300mila dollari in bitcoin per ripristinare il sistema, il sindaco di Arma di Taggia, Mario Conio, mette in guardia i cittadini sul furto di documenti riservati, ma anche carte di identità, codici fiscali e altri dati personali, successivamente divulgati sul web e canali social come Telegram. Informazioni che tra l’altro potrebbero rivelarsi preziose per compilare le cosiddette fake-identity attraverso le quali è possibile compiere svariati illeciti sotto falso nome.
“Non è possibile determinare con precisione le tipologie di dati trafugati, né il numero e le categorie di persone interessate - prosegue Conio -. Gli uffici sono a disposizione per fornire ogni informazione o supporto necessario”. A tal proposito, il sindaco mette a disposizione dell’utenza i recapiti del Responsabile della protezione dei dati personali. Chi desideri assistenza, dunque, può telefonare al numero: 0131/1826681, oppure scrivere alla mail comune.taggia@gdpr.nelcomune.it o ancora alla Pec dpo@pec.gdpr.nelcomune.it.
1. Momento in cui è avvenuta la violazione.
Sulla base degli accertamenti fin qui condotti, l’attacco è stato perpetrato in data certamente antecedente al momento in cui è stato constatato, anche se non pare possibile individuare il momento esatto in cui i malintenzionati si siano introdotti nel sistema informativo ed abbia iniziato la propria attività criminosa.
2. Modalità con la quale il Comune è venuto a conoscenza della violazione.
Durante lo svolgimento dell'attività degli uffici, ancorché in orario di chiusura, i computer hanno interrotto il regolare funzionamento.
3. Momento in cui il Comune è venuto a conoscenza della violazione.
Alle ore 12:30 circa del giorno 11 marzo 2023.
4. Natura della violazione.
Attraverso l’accesso alla rete interna all’Ente, gli hacker hanno effettuato upload del virus ransomware, il quale si è propagato nel resto della rete interna, fino a raggiungere i server sui quali risiedono le banche dati comunali.
L'attacco ha determinato una perdita di riservatezza, perdita di integrità e perdita di disponibilità dei dati personali.
5. Causa della violazione.
La violazione è stata determinata da un’azione intenzionale esterna.
6. Descrizione della violazione.
Attacco perpetrato attraverso la diffusione del ransomware cryptolocker “White Rabbit”.
7. Descrizione dei sistemi, software, servizi e infrastrutture IT coinvolti nella violazione, con indicazione della loro ubicazione.
Sono stati attaccati il server master, le macchine virtuali da questo ospitate e i supporti di backup on line, tutti presenti in apposito locale CED dedicato, sotto chiave e dotato di allarme; altresì sono stati violati tutti i personal computer rimasti accesi presso le singole postazioni di lavoro (client).
8. Categorie di interessati coinvolti nella violazione.
La violazione ha interessato i dati relativi al personale, agli amministratori, ai soggetti residenti e non residenti, ai contribuenti, agli utenti dei servizi comunali, contenuti all’interno degli applicativi utilizzati e nei documenti depositati negli archivi.
9. Numero (anche approssimativo) di interessati coinvolti nella violazione.
Non è possibile determinare neanche approssimativamente il numero degli interessati coinvolti
10. Numero (anche approssimativo) di registrazioni coinvolti nella violazione.
Non è possibile determinare neanche approssimativamente il numero delle registrazioni coinvolte
11. Potenziale impatto per gli interessati.
Mentre una verifica iniziale non consentiva di esprimersi in merito ad una eventuale esfiltrazione di dati personali, successive evidenze lo hanno confermato (pubblicazione su pagine internet).
In conseguenza di quanto sopra, i dati, divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento, potranno essere correlati, senza sforzo irragionevole, ad altre informazioni relative agli interessati e
potrebbero essere utilizzati per finalità diverse da quelle previste oppure in modo non lecito.
Tutti gli uffici comunali manterranno un livello di massima allerta per evitare il presentarsi di situazioni dannose o pericolose per gli interessati, in relazione al compimento delle attività e dei servizi di competenza comunale.
I profili di integrità e di disponibilità dei dati sono stati risolti grazie al tempestivo intervento dei tecnici comunali.
12. Misure tecniche e organizzative adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e attenuarne i possibili effetti negativi per gli interessati.
Dal momento della rilevazione dell’attacco sono state prontamente attivate le policy e le procedure di emergenza del Comune. Le azioni messe in campo sono:
- Identificazione: attività di cyber investigation per determinare l’attore malevolo e le modalità e relativo vettore di attacco (in fase di ultimazione dell’analisi);
- Attività di analisi log per verificare possibile esfiltrazione dati (attività completata);
- Contenimento: sono state attivate le azioni di mappatura delle macchine e dei sistemi infettati e compartimentato l’area per mitigare gli effetti malevoli affinché il danno non si propagasse ulteriormente (attività completata);
- Eradication: attività di rimozione della minaccia (attività completata);
- Recovery: attività di ripristino dei sistemi, database e servizi (attività completata).
F.T.