La violazione del database dei 5 Stelle impone di informare Garante e utenti. E ci sono regole precise da rispettare (di Gaia Rizzato e Matteo Flora)
“Ceci c’est pas une notificacion” e cioè, parafrasando un celeberrimo quadro di Magritte, “questa non è un notifica”: così si potrebbe raccontare l’email arrivata nelle scorse ore agli aderenti al Movimento 5 Stelle relativamente alla ultima effrazione informatica subita. E parliamo, in questo caso, non di una notifica qualunque: la missiva è stata inviata a tutti gli iscritti alla piattaforma del Movimento 5 Stelle “Rousseau” (il c.d. “Sistema Operativo del Movimento 5 Stelle”) tanto osannato dagli aderenti quanto, apparentemente, parco giochi di scorribande digitali ad intervalli regolari da parte dei black hat della rete.
L’ultima di queste scorribande, dopo quelle della scorsa estate, dove il medesimo soggetto aveva violato la piattaforma, pubblicato online parte dei dati e obbligato il Garante all’apertura di un Provvedimento che doveva trovare la sua applicazione completa entro la fine di Settembre, è stata resa nota nelle ultime ore dallo stesso black-hat che aveva forzato la piattaforma lo scorso anno e pubblicando una serie di tweet:
Big news & #tables at #Rousseau Market , collection #Summer2k18 is out!
Great & Useless changes from #casaleggio, for a nice low price!
New tables, new #Hash , phones, emails… and so,@casaleggio ?https://t.co/L5srTaSTdP#M5S #GDRP#pisQAnon is better than nothing#APT0— rogue0 (@r0gue_0) September 5, 2018
Una serie di tweet difficilmente equivocabile, in cui risulta evidente non solo che il soggetto è stato in grado di penetrare, ancora una volta, i “sistemi di difesa” della piattaforma: ma, soprattutto, che è venuto in possesso della completa base dati degli utenti, oltre che dei voti e dei contenuti della piattaforma. Un database spinoso in quanto conterrebbe, come affermato in un successivo messaggio inviato su Twitter e corredato da esempi, nome, cognome, password (forse cifrata) e numero di telefono mobile, utilizzati per la verifica del voto di tutti gli utenti della piattaforma.
Una collezione di dati personali che diventano anche “sensibili”, in quanto la presenza stessa all’interno della base dati dei votanti rappresenta un’indicazione puntuale di un ideale politico.
La notifica
Una situazione molto più spinosa dello scorso anno peraltro: l’avvento del GDPR, il Regolamento Generale sulla Protezione dei Dati, ha di fatti non solamente stabilito pene severe per le effrazioni digitali subite, definite Data Breach, ma posto in essere (all’art. 34) sul gestore della piattaforma l’obbligo di notifica di tali effrazioni, sia verso il Garante sia verso i singoli utenti coinvolti.
Una notifica che non è tardata, obbligata forse visto il termine perentorio di 72 ore stabilito dal GDPR, e che è sfociata nella seguente mail ricevuta dagli aderenti al Movimento politico e dagli utenti della Piattaforma:
“Caro iscritto al Movimento 5 Stelle,
abbiamo ricevuto notizia di un possibile accesso illecito ai dati presenti sul server dei servizi erogati per il Movimento 5 Stelle e le autorità stanno già indagando – assieme a noi e alcune società che ci supportano – per identificare le eventuali modalità di accesso e ulteriori protezioni da attivare alcune delle quali sono già state messe in piedi. In linea con quanto richiesto dalla nuova normativa sulla protezione dei dati personali (GDPR) ti informiamo di questa potenziale violazione dei tuoi dati.
Nell’ultimo anno abbiamo investito molto in sicurezza.
Alcune di queste attività sono visibili, come l’SMS che ti arriva per poter accedere al sistema (un servizio che quest’anno costerà 60 mila euro), o al nuovo livello di complessità delle password che ti viene richiesto di utilizzare. Altre iniziative sono invisibili ai più, ma non per questo meno importanti, come le società ingaggiate per provare a identificare possibili vulnerabilità del sistema o di singoli servizi. Ad esempio, ogni servizio che è stato rilasciato è stato testato e migliorato da società esterne specializzate in sicurezza.
In seguito a questi nuovi attacchi investiremo ancora di più in sicurezza.
Alcuni investimenti importanti sono già stati fatti e altri saranno attivi a breve per un totale di quasi 500 mila euro tra servizi come gli sms, nuova struttura tecnologica con contratto triennale, controlli di sicurezza esterni e sviluppo sistema sperimentale basato su blockchain. Tra gli investimenti più recenti qualche settimana abbiamo siglato un contratto di 209 mila euro in tre anni per una infrastruttura tecnologica ancora più solida e robusta che oltre a poter accogliere molti più iscritti sarà anche più sicura. La sicurezza è una nostra priorità e richiede sforzi e continuità di impegno. Per questo continueremo a lavorare in questa direzione, intensificando la nostra attività di investimento in termini di tempo e di risorse ogni qual volta sia necessario. Ad ogni problema risponderemo con tutte le forze a disposizione per proteggere un progetto che amiamo e nel quale crediamo profondamente.
Grazie per il tuo supporto e la tua partecipazione a questo progetto,
Lo Staff del Movimento 5 Stelle”
La nostra analisi
Il riferimento al GDPR è esplicito: la comunicazione viene fatta, infatti, “in linea con quanto richiesto dalla nuova normativa sulla protezione dei dati personali (GDPR)”: ma di “in linea” in questa comunicazione, come vedremo, c’è veramente molto poco.
Anche tralasciando le valutazioni sulla spesa e gli investimenti sulla piattaforma, che inadeguati paiono direttamente dal fatto che non sono stati palesemente sufficienti a proteggere l’integrità e la confidenzialità dei dati, e ai costi relativi alle notifiche via SMS (se davvero sono 60.000 euro avremmo una serie di fornitori alternativi da consigliare…), quello che più fa specie è come la notifica inviata violi palesemente tutte le indicazioni date dal GDPR stesso, all’interno del succitato art.34, relativamente ai campi e ai dati necessari.
La comunicazione di data breach ai sensi degli articolo 34 e 33 deve, infatti, descrivere “con un linguaggio semplice e chiaro la natura della violazione dei dati personali” e deve contenere:
- il nome e i dati di contatto del DPO;
- la descrizione delle probabili conseguenze della violazione dei dati personali;
- la descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Se forse possiamo dire che l’ultima parte si intravede, almeno parzialmente sepolta dal tentativo di marketing di una piattaforma evidentemente inadeguata e plurimamente violata in modo totale e spettacolare, la comunicazione manca sicuramente sia dei dati (obbligatori) relativi al nome e il contatto del DPO, sia soprattutto della “descrizione delle probabili conseguenze della violazione dei dati personali”.
Descrizione non certo semplice e, soprattutto, dalle pesanti implicazioni: la presenza del numero di cellulare consente infatti a chiunque venga in possesso di tali dati di contattare direttamente la persona ed inviare non solamente offerte pubblicitarie, ma addirittura avere una base con cui classificare per fede politica gli aderenti al Movimento. Creando una sorta di lista di proscrizione.
Risulta inoltre possibile utilizzare questi dati, mail compresa, per attacchi di phishing, magari sfruttando la conoscenza del numero di cellulare come fattore di maggiore accreditamento e per convincere gli utenti a cedere altre informazioni. In aggiunta, non è ancora chiaro se la stessa password contenuta sia facilmente “decifrabile” o meno, ma se lo fosse il pericolo aumenterebbe esponenzialmente: poiché plausibilmente migliaia di utenti potrebbero aver utilizzato la medesima password in differenti piattaforme e servizi.
Le conseguenze della breccia
Una situazione tutt’altro che rosea: stupisce e rammarica che una comunicazione così importante sia stata deliberatamente inviata monca e parziale, anche in un contesto dove gli obblighi sono sanciti da una normativa internazionale e, una volta tanto, i dati da includere sono chiari ed esplicitamente espressi. Una (ennesima?) occasione mancata per una infrastruttura, ed una organizzazione digitale, che pare continuare ad essere, inaspettatamente e continuamente, ben sotto non tanto alle aspettative, quanto alle più basilari e semplici norme di sicurezza e di correttezza ad oggi dovute nella Information Technology anche dilettantesca.
La risposta del Garante non si è fatta attendere: “In relazione alla notizia sul nuovo attacco hacker alla piattaforma Rousseau – recita una nota pubblicata in serata – il Garante per la protezione dei dati personali informa di aver avviato le prime verifiche, anche al fine di valutare se il data breach sia stato determinato dalle medesime cause riscontrate in passato, già oggetto di un provvedimento del Garante, o se sia stato dovuto ad altre cause”.
a cura di Gaia Rizzato, con la collaborazione di Matteo Flora
