M5S e l’attacco hacker: quanta trasparenza per l’utente finale?

Questa storia comincia da una violazione della Privacy. Un evento comune, evento che è sempre accaduto e sempre accadrà, sin dai tempi in cui il primo uomo delle caverne decise di mettere un grosso sasso davanti alla porta per potersi fare i fatti suoi nella sua caverna ed un uomo astuto reagì scavando un buchino nel grosso sasso per sbirciarvi dentro.

Da allora ad oggi di acqua sotto i ponti ne è passata, tanta, ed arriviamo agli ultimi giorni

Quando Rogue0, famoso quanto anonimo hacker, ha deciso di “bucare” la sicurezza di Rousseau, il database e centro di intercambio di idee e voti del Movimento 5 Stelle per elargirne il contenuto a chiunque abbia una connessione Internet.

Fatto gravissimo questo, sia nei confronti di chi ha compiuto tale atto (ricordiamo, illecito per quanto per dimostrare vulnerabilità) che nei confronti di chi l’ha subito, specialmente post GDPR.

Post-GDPR infatti un nuovo concetto introdotto è l’accountability, pilastro fondamentale del nuovo impianto normativo.

Sostanzialmente il concetto base può essere riassunto così: il dato sensibile è prezioso, il dato sensibile è raro, il dato sensibile è importante.

Tu, soggetto che decidi di farti titolare del suo trattamento, che raccogli dati preziosissimi e importanti da molte persone, devi essere disposto e capace di difenderli con le unghie e coi denti, o cadere nel tentativo.

Non esiste un elenco della serva di cose da fare: ogni titolare è tenuto, ex art 24 GDPR, ad attivarsi in modo particolare e personalizzato, individuando a seconda della sua infrastruttura ciò che serve e ciò che va fatto, volta per volta e caso per caso

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Un amaro risveglio si è quindi palesato per i gestori della Piattaforma Rousseau, che hanno visto la loro “perfetta” infrastruttura diventare l’equivalente (detto con ironia) del secchio traforato della pubblicità del noto sigillante Flex Seal

That’s a lotta damage!!!!

Questo è un disastro enorme!!, ghigna il nostro garrulo Phil impugnando coltelli e motoseghe per sfondare un povero secchio innocente esibendo al pubblico l’acqua che cola dalle sue interiora devastate mentre una serie di sovraimpressioni implorano comicamente lo spettatore a casa di non dedicarsi a simili attività

Ricostruzione dell’azione di R0gue_0 su Rousseau in forma ironica

Abbiamo quindi un secchio (Rousseau), un suo preziosissimo contenuto (nomi, cognomi, numeri di telefono, voti, eccetera) ed un garrulo ometto armato di motosega (ironia ricordiamo) che squarta quel secchio come una pignatta ad una festa per bambini spargendo il contenuto alle masse.

Potremmo osservare che, in base al principio di Accountability, ci sono da fare al proprietario del secchio, ovvero il Titolare del Trattamento Dati ed al Custode del Capanno degli Attrezzi, ovvero il Data Protection Officier, una serie di domande che, per i non avvezzi al linguaggio tecnico e giuridico addetto alla normativa, possiamo riassumere in:

  1. Ma il capanno era sicuro?
  2. Il secchio era solido?
  3. Chi ca**o ha fatto entrare un pazzo ghignante armato di motosega?
  4. Ma non avete sentito il rumore delle motosega, le risate mefistofeliche e l’urlo gioioso That’s a lotta damage!!!! che uscivano dal vostro magazzino?
  5. Ed ora il contenuto del secchio chi lo raccoglie?
  6. Ma il pazzo armato di motosega poi è fuggito urlando nei boschi, oppure è ancora lì davanti al secchio urlando Yeah! It leaks! It leaks!!! (“Ma certo! Perde! Perde!!!!”) con l’aria di Meg Ryan che simula l’orgasmo in Harry ti presento Sally?

Esiste un preciso protocollo che in questi dati va eseguito.

Una prima parte prevede che, entro le settantadue ore

Articolo 33

Notifica di una violazione dei dati personali all’autorità di controllo

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3. La notifica di cui al paragrafo 1 deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Cosa che, in qualche modo, è accaduta, volente o nolente, dato che il Garante della Privacy ha già fornito una nota in tal senso

In relazione alla notizia sul nuovo attacco hacker alla piattaforma Rousseau, il Garante per la protezione dei dati personali informa di aver avviato le prime verifiche, anche al fine di valutare se il data breach sia stato determinato dalle medesime cause riscontrate in passato, già oggetto di un provvedimento del Garante, o se sia stato dovuto ad altre cause.

Il Garante sa.

Il Garante sta prendendo provvedimenti. Ma in questo caso c’è di mezzo l’Accountability. Bisogna essere più severi. Ad esempio, in base al precedente art. 32, alcuni elementi di cui tenere conto saranno

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Già a questo punto, una domanda legittima è interrogarsi sulla pseudonimizzazione di dati che, abbiamo visto, non erano collegati a pseudonimi o token anonimi sostitutivi di nomi e cognomi, ma direttamente a nomi e cognomi.

Potresmmo anche chiederci, e sarà ora il Garante a chiederlo, se l’assessment abbia tenuto conto del fatto che, di fatto, questa è la seconda volta che il nostro amico Phil si intrufola nel capanno degli attrezzi ghignando con la sua motosega.

Ma quello che ci lascia senz’altro perplessi è la nota successiva con cui il Titolare del Trattamento Dati ritiene (anche qui, riteniamo la formula dubitativa necessaria) di aver ottemperato alla successiva fase dell’obbligo

1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).

3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

La comunicazione è pervenuta? Sì, e la leggiamo assieme

Caro iscritto al Movimento 5 Stelle,

abbiamo ricevuto notizia di un possibile accesso illecito ai dati presenti sul server dei servizi erogati per il Movimento 5 Stelle e le autorità stanno già indagando – assieme a noi e alcune società che ci supportano – per identificare le eventuali modalità di accesso e ulteriori protezioni da attivare alcune delle quali sono già state messe in piedi. In linea con quanto richiesto dalla nuova normativa sulla protezione dei dati personali (GDPR) ti informiamo di questa potenziale violazione dei tuoi dati.

Nell’ultimo anno abbiamo investito molto in sicurezza.

Alcune di queste attività sono visibili, come l’SMS che ti arriva per poter accedere al sistema (un servizio che quest’anno costerà 60 mila euro), o al nuovo livello di complessità delle password che ti viene richiesto di utilizzare. Altre iniziative sono invisibili ai più, ma non per questo meno importanti, come le società ingaggiate per provare a identificare possibili vulnerabilità del sistema o di singoli servizi. Ad esempio, ogni servizio che è stato rilasciato è stato testato e migliorato da società esterne specializzate in sicurezza.

In seguito a questi nuovi attacchi investiremo ancora di più in sicurezza.

Alcuni investimenti importanti sono già stati fatti e altri saranno attivi a breve per un totale di quasi 500 mila euro tra servizi come gli sms, nuova struttura tecnologica con contratto triennale, controlli di sicurezza esterni e sviluppo sistema sperimentale basato su blockchain. Tra gli investimenti più recenti qualche settimana abbiamo siglato un contratto di 209 mila euro in tre anni per una infrastruttura tecnologica ancora più solida e robusta che oltre a poter accogliere molti più iscritti sarà anche più sicura. La sicurezza è una nostra priorità e richiede sforzi e continuità di impegno. Per questo continueremo a lavorare in questa direzione, intensificando la nostra attività di investimento in termini di tempo e di risorse ogni qual volta sia necessario. Ad ogni problema risponderemo con tutte le forze a disposizione per proteggere un progetto che amiamo e nel quale crediamo profondamente.

Grazie per il tuo supporto e la tua partecipazione a questo progetto,

Lo Staff del Movimento 5 Stelle

I problemi, in base a quanto vi abbiamo detto, sono evidenti.

Per prima cosa, il titolare del trattamento dei dati comunica, mentre qui abbiamo una asfittica comunicazione firmata dallo “staff”.

Se volessi contattare il trattamento dei dati o il DPO, come potrei farlo?

Torniamo al nostro esempio: nel secchio c’erano anche i nostri dati. Siamo interessati a sapere cosa il bruto con la motosega ne abbia fatto e, sopratutto, se i dati siano colati nella Foresta e Gargamella sia già pronto a telefonare al nostro numero di cellulare per sapere se è vero che facciamo quelle cose hot coi cetrioli.

Ma nessuno si fa avanti a dire “scusa tipo, colpa mia, dimmi pure, troviamo una soluzione”

Nessuno.

Inoltre, l’articolo 34 sconsiglia, se non quando si è strettamente costretti, una forma divulgativa ampia, come una mera mailing list o newsletter, prediligendo comunicazioni dettagliate e personalizzate

Eccezioni sono possibili sul grande numero, come è in questo caso, ma senza detrarre al dettaglio.

Ora, rileggete la nota che vi è stata sottoposta:

  1. Per caso vedete la menzione del tipo di dati che sono stati sottratti?
  2. Vedete la menzione delle conseguenze che la sottrazione dei dati può fornire?
  3. Vedete per caso l’indicazione delle misure che entrambe le parti possono prendere nel caso concreto?

E no, non riteniamo valida  il ma in futuro spenderemo molti soldi per fare le Blockchain.

E ve lo spieghiamo tornando a quell’esempio: immaginate il secchio pieno di vostri dati, con (ironia) Phil che urla fino all’orgasmo e lo sevizia orrendamente con lame e motoseghe.

Andate dal proprietario del capanno e dite

Scusami amico: i miei dati? Cosa posso fare ora?

Quello vi sorride e dice

Tranquillo, il mese prossimo arriva un prefabbricato dall’America e d’ora in poi il secchio lo metteremo lì! Ci sono certi raggi laser che manco Mission Impossible, guarda! C’è Capitan America seduto davanti alla porta che ti chiede sai cosa ha quattro gambe al mattino, due gambe al meriggio e cammina su tre gambe la sera e se dici che è Rocco Siffredi ti paga da bere! Vedrai che in futuro andrà meglio e l’acqua nel secchio ci resterà!

E allora voi dite

Sì, ma adesso? Ca**o, vedo l’acqua che esce dalla porta! Vi farebbe schifo spruzzarci un po’ di Flex Seal che sigilla e ripara?

Ed il tale niente, continua a descrivervi come assieme a Capitan America arriveranno anche tutti gli Exogini al completo pronti a fare complicate mosse di Wrestling ai cattivoni che si avvicineranno ad un secchio che tanto ormai è del tutto vuoto e squartato sul pavimento mentre cupe risate di follia riecheggiano nella brughiera.

O peggio, come in questo caso, voi ci andreste pure dal proprietario, ma trovate solamente un cartellino affisso alla porta che spiega tutte queste cose e nessun indirizzo, costringendovi a cercare il proprietario per porgli quelle domande.

I nuovi principi di Accountability richiedono infatti, ex art. 34, un linguaggio semplice, chiaro ma specifico, diffuso in ogni forma che favorisca il contatto diretto, come mail personali, SMS, messaggistica diretta, comunicazioni vis-a-vis, ed escludendo mailing list atecniche e generiche.

Elementi essenziali,  ci ricordano gli esperti, sono infatti

  • il nome e i dati di contatto del DPO;
  • la descrizione delle probabili conseguenze della violazione dei dati personali;
  • la descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

E al momento, tutti questi elementi sono lasciati ad un momento successivo nel quale, confidiamo, gli interessati chiederanno, avendone diritto, le spiegazioni del caso.

È nel diritto di chi ha patito violazione infatti conoscere un nome ed un contatto, una stima di massima del quando e del come è avvenuta la violazione, con una spiegazione chiara e succinta degli eventi, la natura e la qualità dei dati dispersi, quali conseguenze si potrebbe patire e cosa è stato fatto.

In questo caso potremmo ipotizzare:

Vi scriviamo in merito della violazione del 6 Settembre, nella quale un tale si è impossessato di diversi dati tra cui nomi, cognomi e numeri di cellulare usando una determinata modalità, pertanto non possiamo garantire che i vostri nomi, numeri cellulari ed indirizzi email non siano stati diffusi agli spammer di mezzo mondo, vi consigliamo vivamente di cambiare la password che usate per Rousseau e per le email collegate ed indicate, anche noi nell’immediato provvederemo a bloccare ogni accesso, fin’ora abbiamo fatto ciò, nel breve periodo faremo quest’altro, vi preghiamo di contattarci per ulteriori dettagli qui.

Offriamo questa analisi senza malizia, ma come aiuto per migliorare: le sanzioni, in caso di reclami, sono severe.

Latest News