Nel mese di marzo, il Comune di Taggia è stato oggetto di un databreach causato da un ransomware. Analizziamo alcune evidenze ritrovate nel leak per comprendere quali potrebbero essere gli aspetti di maggior criticità.
Informazioni di base
Target: Comune di Taggia (Provincia di Imperia, Regione Liguria) Data: 11/03/2023 Autore: RansomHouse Vettore: mail con allegato il ransomware di tipo "White Rabbit"
Il ransomware di tipo White Rabbit è stato sviluppato dal gruppo hacker Fin8, si riconosce facilmente a causa del file di testo che richiama per l’appunto la forma del coniglio.
Per maggiori informazioni di dettaglio si raccomanda di leggere la pagina del sito TrendMicro seguendo questo link.
Nel 2017 il Comune di Taggia contava 14.060 abitanti, è quindi un piccolo centro che eroga una serie di servizi essenziali ed importanti alla sua cittadinanza. Il data breach ha previsto sia l’esfiltrazione dei file, che la cifratura. Dai file pubblicati in rete è stato possibile analizzare una moltitudine di documenti, la cui struttura principale è riassumibile come segue.
Comune_tagia_im |-Acquedotto |-AffariGenerali_Messi |-AffariGenerali_Protocollo |-AffariGenerali_Segreteria |-Ambiente |-Ambiente - Patrimonio |-Assessori |-Datipeople |-LavoriPubblici |-Patrimonio |-Polizia Municipale |-PubblicaIstruzione |-Ragioneria |-SegreteriaSindaco |-ServiziDemografici |-ServiziSociali |-SportelloUnicoEdilizia |-Tributi |-Turismo
Particolarmente indicativa la presenza, in alcune cartelle, di file di backup che suggerirebbero il fatto che il server, oltre le informazioni, ospitasse anche le copie di salvataggio di documenti, cartelle e file. In una parte del comunicato ufficiale, rilasciato su Facebook dal primo cittadino Mario Conio, si apprende che:
Sono stati attaccati il server master, le macchine virtuali da questo ospitate e i supporti di backup on line, tutti presenti in apposito locale CED dedicato, sotto chiave e dotato di allarme. Sono stati violati tutti i personal computer rimasti accesi presso le singole postazioni di lavoro. I dati inizialmente crittografati sono stati successivamente sottratti e divulgati sul web, con violazione della privacy di tutti gli interessati. Non è possibile determinare con precisione le tipologie dei dati trafugati, né il numero e le categorie di persone interessate.
Cosa è stato trovato
Anche il Comune di Taggia, come altre realtà comunali, ha avuto un’emorragia di file non indifferente: da un’analisi sommaria effettuata sul materiale trafugato, sono stati esposti su internet:
- Documenti di identità - Verbali della polizia locale - Immagini delle fototrappole - Immagini e informazioni sulle targhe di veicoli per il Telecontrol - Video di telecamere di sorveglianza - Dati su soggetti fragili dai servizi sociali - Relazioni psicologiche su minori - Diario psicologico pazienti - File password contenuti in documenti Word
Politiche sociali: dati di minori e non solo
L’archivio pubblicato dagli hacker ha esposto dati riguardanti lo stato psicologico di minori (ad esempio minori in affido a famiglie affidatarie). Il settore dei servizi sociali in tal senso è critico e detiene una moltitudine di informazioni molto delicate.
La presenza di appunti sullo stato psicologico, unitamente ai documenti necessari per richiedere economicamente lo stanziamento dei fondi, permette di identificare senza alcun dubbio sia il paziente che il medico. Ci sono anche diari psicologici su persone anziane per il monitoraggio di patologie come l’alzheimer.
Polizia locale: tra multe, immagini e video
Come sempre un altro ufficio particolarmente importante è quello del comando di polizia locale in cui molte delle informazioni contenute sono di carattere particolare. Copie di documenti di identità, si sommano a denunce, a immagini catturate dalle foto-trappole usate per combattere i fenomeni di inquinamento sul territorio, a video provenienti dalle telecamere di sorveglianza.
File personali, password, etc…
È chiaro che all’interno delle cartelle trafugate sono stati trovati materiali come fotografie e documenti personali ma anche i canonici file password, contenenti credenziali per una moltitudine di servizi (banche, portali web, etc…).
Tutelare le informazioni
Il Comune di Taggia è, analogamente ad altri, soggetto alla necessità di proteggere informazioni di natura particolare. Bisogna notare, con necessaria franchezza, che le informazioni presenti all’interno del Comune hanno sia un’origine interna, che un’origine esterna.
Se la documentazione avesse un’origine solo interna, derivante ad esempio dalla comunicazione tra gli uffici, sarebbe molto semplice proteggere queste informazioni. Il fatto che vi sia uno scambio tra il Comune e altri enti (come i centri di solidarietà), apre ad una maggiore complessità e ad una maggiore difficoltà.
Ciò nonostante è chiaro che tutto deve essere gestito adeguatamente. Dopo il data breach, il Primo Cittadino Mario Conio ha fatto una comunicazione pubblica; tra i commenti in risposta ce n’è uno che merita la dovuta attenzione.
La risposta di questo utente è oggettivamente interessante e molto corretta: il Comune richiede ai cittadini dati e informazioni per l’erogazione di servizi, questi dati non possono essere gestiti in modo approssimativo. Ciò significa che le misure di sicurezza devono essere commisurate al livello di informazioni che il Comune deve gestire.
