(Image Credits: https://www.davidpuente.it)
Il recente attacco hacker di cui è stata vittima la piattaforma di voto online del Movimento 5 Stelle (meglio nota con il nome evocativo “Rousseau”) dimostra ancora una volta purtroppo come la cultura della prevenzione in ambito Cybersecurity e Privacy, sia ancora largamente insufficiente.
Dal punto di vista tecnico, infatti, sembrerebbe che la vulnerabilità sfruttata per perfezionare l’attacco alla piattaforma web sia un classico esempio di “Sql Injection”, vale a dire uno degli attacchi più noti e diffusi sul web, di cui è disponibile ampia letteratura tecnica in materia.
(Image Credits: https://motherboard.vice.com/)
Ovviamente non è solo la Casaleggio & Associati ad essere vittima di attacchi hacker, dal momento che nomi di aziende ben più altisonanti operanti nel settore software e servizi digitali sono quotidianamente vittime di attacchi di sicurezza (basti pensare, uno per tutti, agli attacchi contro il “gigante” del web Yahoo).
Quello che rende l’attacco alla piattaforma Rousseau particolarmente preoccupante, tuttavia, è che, a differenza di aziende quali ad es. gli istituti di credito (e la mente va naturalmente al recente “Data Breach Unicredit”), che trattano dati personali “comuni”, senza dubbio di particolare appetibilità per i cyber-criminali, nel caso di specie i dati trattati dalla piattaforma di voto online non sono soltanto di tipo “comune” (quali ad es. nome, cognome, conto corrente bancario, ecc.) ma anche (e soprattutto) di tipo “sensibile” (categoria giuridica nella quale rientrano, tra gli altri, proprio le preferenze politiche).
Una specifica tipologia di dati personali questa che, come noto, è oggetto di particolare attenzione (anche in termini sanzionatori) dalla vigente normativa sulla riservatezza.
Anche alla luce delle norme di recente adozione introdotte dal Regolamento EU, meglio noto come GDPR, che statuisce i principi cardini di “Privacy by default” e “Privacy by Design”, vale a dire la previsione sin dalla fase di progettazione delle applicazioni, delle adeguate misure tecniche di sicurezza volte a prevenire possibili compromissioni esterne che consentano accessi non autorizzati a dati personali di tipo “sensibile”.
Qualcuno obietterà che le norme del Regolamento GDRP non sono ancora operative (poichè l’entrata in vigore del Regolamento GDRP è il prossimo 25 maggio 2018).
Tuttavia, per una piattaforma di recente rilascio come “Rousseau” sarebbe stato lecito attendersi una maggiore “sensibilità” al problema “Cybersecurity & Privacy”, vista anche la rilevanza politica che la piattaforma Rousseau sarà chiamata a svolgere (a detta dei vertici M5S) di qui a breve, nella scelta del candidato premier M5S alle prossime elezioni politiche nazionali.
Non è un caso che l’hacker responsabile dell’attacco a Rousseau abbia fatto proprio riferimento a tale circostanza come obiettivo della sua prossima incursione all’interno della piattaforma…
© Innovation-Exploited.com - All rights reserved
Vietato l'uso dei contenuti per l'addestramento di Intelligenze Artificiali Generative