Data breach: Ordine Psicologi della Lombardia

Indice

In data 10 ottobre 2023, il collettivo NoEscape, ha rivendicato l’attacco contro l’Ordine degli Psicologi della Lombardia. L’attacco rischia di esporre dati di categoria particolari afferenti all’attività dell’Ordine. Cerchiamo di capire cosa è successo.

Il fatto

Il 10 ottobre è stato pubblicato il messaggio di rivendicazione di un data breach avvenuto ai danni dell’Ordine degli Psicologi della Lombardia. Altre informazioni possono essere reperite sulla pagina della piattaforma Ransomfeed.

La schermata di rivendicazione

Il collettivo, stando al messaggio riportato all’interno del testo, avrebbero esfiltrato all’incirca 7 GB di dati composti da

  • Documenti di identità
  • Accordi e contratti
  • Documenti finanziari
  • Report
  • Documenti vari

Come in tutti gli altri dati è importante tenere in considerazione che statisticamente la pubblicazione dei dati sul portale degli hacker avviene 4-5 giorni dopo la raccolta del materiale. Il tempo serve agli hacker per classificarlo e pubblicarlo. Se accettassimo per buona questa tesi, l’infezione e l’esfiltrazione sarebbero avvenute intorno al 4-5 ottobre. Alla data attuale (10 ottobre 2023), nessun documento è stato pubblicato esternamente; mancano 6 giorni prima che il collettivo NoEscape li renda disponibili. Stando alla schermata di NoEscape, il giorno d’attacco sarebbe il 3 ottobre 2023. Per maggiori informazioni su questo collettivo si faccia riferimento alla scheda riportata all’interno della piattaforma Ransomfeed.

Considerazioni preliminari

Ci sono alcuni aspetti che rendono questo data breach particolarmente significativo.

Il primo aspetto riguarda il segreto professionale: in casi analoghi a danno di medici e strutture sanitarie, sono stati esfiltrati e pubblicati documenti di assoluta riservatezza che riguardavano il rapporto medico-paziente. L’argomento è stato ampiamente trattato in un apposito articolo riportato di seguito.L’auspicio è che tra questi documenti non vi siano informazioni che afferiscano al rapporto medico-paziente.

Il secondo aspetto riguarda più strettamente la vita privata del medico: la pubblicazione di carte di identità e documentazione varia, potrebbe rivelare informazioni personali e private sui medici che non sarebbero dovute essere di dominio pubblico. Questo vale sia nell’ambito personale che, a maggior ragione, in relazione alla tipologia di lavoro svolto.


Aggiornamenti

10/10/2023 – Stato attuale

Al momento (10/10/2023 – 09:35AM) nessun comunicato appare sul portale dell’Ordine degli Psicologi Lombardia. Nè all’interno della sezione “Ultime News”, né all’interno della sezione “Comunicati stampa”.

16/10/2023 – 08:04 – Giorno della pubblicazione dei dati

Mancano 16 ore alla pubblicazione delle risultanze. Al momento il portale dell’OPL non presenta ancora notizia del data breach, né all’interno della sezione “News”, né all’interno della sezione “Comunicati stampa”.

17/10/2023 – 01:12 – Giorno della pubblicazione dei dati

Nella giornata odierna il collettivo NoEscape renderà disponibili i dati che attualmente sono anticipati da una scritta “Coming soon”. Nel frattempo si conferma che, alla data attuale, non vi è ancora notizia del data breach, né all’interno della sezione “News”, né all’interno della sezione “Comunicati stampa” del portale dell’Ordine degli Psicologi Lombardia.

17/10/2023 – 18:20 – Dati non ancora pubblicati

Il collettino NoEscape non ha ancora pubblicato i dati dell’OPL. Nel frattempo si conferma che, alla data attuale, non vi è ancora notizia del data breach, né all’interno della sezione “News”, né all’interno della sezione “Comunicati stampa” del portale dell’Ordine degli Psicologi Lombardia.

18/10/2023 – 08:40 – Pubblicato l’elenco file ma non i file

NoEscape ha pubblicato l’elenco dei file e delle cartelle rimandando la pubblicazione dei 7 Gb dei dati tra 6 giorni e 16 ore. È una tecnica nota per fare pressione sulla vittima. All’interno del file-tree sarebbero presenti:

  • documenti fiscali (imposte, bilanci, impegni di spesa),
  • i redditi 2022 di persone fisiche,
  • documenti contrattuali con i fornitori,
  • curriculum e lettere d’incarico,
  • documenti del consiglio dell’ordine (ordini d’invalidità, fogli firma, delibere, etc…),
  • documenti sulle attività svolte,
  • fotografie degli iscritto al consiglio,
  • documenti relativi ad esposti di persone e relative memorie,
  • documenti di identità,
  • documenti relativi agli audit,
  • alcune cartelle con il nome “Tutela\Casi_\Fascicoli dei Casi”

La preoccupazione principale potrebbe essere rappresentata proprio dal gruppo di file e cartelle contenute dentro la cartella principale “Casi_”.

In merito all’esposizione di password, sembra che vi siano alcuni riferimenti potenzialmente pericolosi:

  • il richiamo ad un file con una password legate al bilancio.
  • diversi file con la dicitura “password_link” legati agli esposti.

Al momento non essendo stato rilasciato alcun file è impossibile verificare l’effettiva gravita della situazione ma è chiaro che è già possibile effettuare una stima della tipologia di dati presenti in archivio che include quelli personali diretti, indiretti e ovviamente anche quelli di categoria particolare. In merito agli aggiornamenti del sito, si nota che la sezione “Ultime News” contiene un aggiornamento che non riguarda però il data breach. Mentre la pagina “Comunicati stampa” continua a non ricevere aggiornamenti.

21/10/2023 – L’Ordine degli Psicologi Lazio pubblica un comunicato

In data odierna l’Ordine degli Psicologi Lazio ha pubblicato un comunicato stampa che può essere letto cliccando qui. O scaricando la versione PDF acquisita al momento della pubblicazione.

All’interno del comunicato è possibile notare alcune frasi che meritano una riflessione.

Adottate le procedure di emergenza necessarie, anche con il supporto di un’azienda specializzata nell’ambito digital forensics, abbiamo provveduto nei giorni successivi alla ricostruzione ex novo delle macchine fisiche e virtuali ed al ripristino degli archivi grazie ai salvataggi custoditi nel cloud di Vodafone e ai dischi esterni custoditi in cassaforte.

Da quanto affermato è interessante osservare l’applicazione della regola “3…2…1…Backup!” che prevede che almeno una copia venga custodita offline, generalmente in cassaforte. E ancora:

Si precisa che gli archivi reali corrispondono a centinaia di GB e che le dinamiche e i tempi dell’attacco non avrebbero sicuramente consentito l’acquisizione totale degli archivi. Il link rimanda alla seguente pagina dove, in data 3 ottobre 2023, si minaccia la pubblicazione di 7GB.

Altra informazione interessante è, effettivamente, la quantità ridotta di dati esfiltrati, rispetto al totale che, chiaramente, non sarebbe potuto essere di soli 7Gb. Dal comunicato si apprende, inoltre, che si sta seguendo correttamente la procedura di notifica al Garante per la Protezione dei Dati.

Tali esiti sono già stati documentati nel registro dedicato ai Data Breach ed è stata inviata la dovuta notifica all’ufficio del Garante Privacy. L’esiguità della mole di dati dichiarata come copiata dagli attaccanti, rispetto ai reali volumi delle banche dati dell’Ordine, riduce i rischi per gli interessati.

Si apprende, tra l’altro che non vi sarebbero dati di categoria particolare riguardanti casistiche trattate dall’OPL.

Non c’è, infatti, prova che ci siano dati degli psicologi iscritti perché i sette documenti campione pubblicati riguardano documenti interni in forma anonima e tre documenti identità di nostri consulenti che in realtà nella sezione amministrazione trasparente sono già pubblici. La cartella casi è contenuta in un file di .txt descrittivo senza contenuti specifici e consiste in un puro elenco ma non vi è prova che la cartella sia stata copiata. L’eseguità dei dati dichiarati rappresenta comunque un rischio ridotto rispetto ai reali archivi.

Sarà necessario attendere l’esito della pubblicazione ma è possibile notare alcune cose dalla comunicazione. Al netto di alcune imprecisioni tecnico-linguistiche, è inobiettabile che questo comunicato affronti in modo particolarmente diretto le tematiche legate alle informazioni contenute, così come le informazioni riguardo il modus operandi dell’incidente. In merito alle conseguenze post-incidente, c’è una frase molto interessante riportata nel comunicato:

L’esiguità della mole di dati dichiarata come copiata dagli attaccanti, rispetto ai reali volumi delle banche dati dell’Ordine, riduce i rischi per gli interessati.

La conclusione di a cui addiviene l’ordine è assolutamente coerente e rientra nell’accountability della stima dei rischi che è stata utilizzata valutare l’impatto dell’incidente informatico.

23/10/2023 – Sito di NOESCAPE non disponibile

Sono diversi giorni che il portale del gruppo NoEscape risulta indisponibile. Non è quindi possibile operare le verifiche sui file esfiltrati. Qualora ci fossero novità, l’articolo sarà aggiornato.