La sicurezza non è un gioco

Individuato BlueNoroff, un threat actor che prosciuga gli account delle startup di criptovaluta

Chi progetta e vende balocchi hi-tech o svaghi da display non prende in considerazione la sicurezza nemmeno quando è in gioco quella degli altri

Non lo avrebbe mai immaginato nessuno. Abituati a temere attacchi informatici a centrali nucleari o verso altre infrastrutture critiche, dobbiamo constatare che hacker e criminali mantengono la loro imprevedibilità. Nel mirino, stavolta, un’azienda produttrice di giocattoli elettronici e videogame per bambini. Viene subito da chiedersi come, da domandarsi perché. Cominciamo con il quando e il dove: è il 14 novembre 2015 e il bersaglio dei criminali è il sistema informatico della VTech.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

L’incursione potrebbe passare inosservata, mescolata nel gigantesco calderone che caratterizza la dura quotidianità digitale in cui le aggressioni telematiche non si contano nemmeno più. L’azienda impiega dieci giorni ad accorgersi di quel che è successo. Dieci lunghissimi giorni, un intervallo di tempo di dimensioni spropositate che costituisce un insanabile vantaggio per chi ha colpito e che segna una colpevole impreparazione in capo ai responsabili ICT e della security del colosso industriale.

La circostanza fa subito pensare a quanti episodi hanno i medesimi connotati: a guardare dalle nostri parti, è legittimo sospettare che casi analoghi possano aver avuto luogo con scoperte tardive o addirittura senza rilevazione alcuna.Torniamo al fatto. L’intrusione indebita non ha avuto soltanto risvolti negativi per le attività di ricerca e di progettazione (i segreti non mancano certo in un simile contesto!), ma ha prospettato inquietanti riverberazioni sul fronte dei dati custoditi negli archivi di carattere commerciale. Cosa ha attirato chi ha dribblato le misure di sicurezza e ha beffato i sistemi di rilevazione degli accessi non autorizzati? Elementare, avrebbe detto il buon Sherlock Holmes al suo fidato Watson: le informazioni trattate dall’industria del gioco e dell’intrattenimento sono ogni giorno più appetibili perché consentono il tracciamento di una tanto vasta quanto delicata platea di clienti, utilizzatori, consumatori. In questo caso, gli incursori hanno scippato dati sensibili riguardanti centinaia di migliaia di bambini e giovanissimi.

Leggi anche:  Cybersecurity: record assoluto di attacchi tra aprile e giugno. La PA migliora in sicurezza informatica

Secondo le dichiarazioni rilasciate dalla stessa VTech, il database saccheggiato conteneva nomi, cognomi, indirizzi, età, ma anche e soprattutto foto dei ragazzini e persino messaggi vocali lasciati dagli stessi piccoli utenti. La varietà e l’abbondanza di informazioni depredate sottolinea da una parte l’inqualificabile mancata adozione di misure di sicurezza, dall’altra l’altrettanto deprecabile acquisizione di elementi conoscitivi che esorbitano dalla legittima necessità di conoscere il proprio target commerciale. Tra i tanti dati rastrellati dai cyber-banditi, ci sono gli indirizzi di posta elettronica e le password di accesso al network di chi gioca con i prodotti VTech: cosa succede se la parola chiave non differisce da quella utilizzata per accedere alla casella mail o per fare ingresso in un social network?

Qualcosa di simile è già capitato nel 2011 con la razzia di dati in danno della Playstation Network di Sony. Le vittime furono più o meno 45 milioni, ma a quanto pare la lezione non è bastata. Il business, maledetto business: è questo il punto debole. è la fretta di macinare il mercato, di acquistare velocità, di raggiungere celermente i risultati pianificati. Tutto questo, senza badare minimamente alle più basilari cautele e precauzioni. Le conseguenze di imperdonabili negligenze toccano in sorte a soggetti terzi incolpevoli del loro destino e purtroppo non trovano rimedio. Si spinge il pedale dell’acceleratore senza aver controllato se a fianco esiste quello del freno. La vita purtroppo non è un videogioco. Non esiste un pulsante per resettare e ricominciare la partita, ma spesso lo dimentichiamo.