2,7 milioni di telefonate al servizio sanitario svedese on-line senza protezione

“Per l’esecutivo il vantaggio di una emergenza permanente è che anche le cose banali possono essere realizzate come se appartenessero a uno situazione di emergenza. Se tutto è una situazione di emergenza, tutto il potere è potere di emergenza.”
Garry Wills

Cosa accade quando una azienda, pubblica o privata, non pone sufficiente attenzione alla sicurezza? Accade che, prima o poi, viene coinvolta in brutte figure come quella che ha appena fatto il Servizio Sanitario Svedese (1177), con la scoperta di un NAS – Network Attached Storage – on-line, senza username o password né altra misura di sicurezza, con le chiamate al servizio di emergenza dal 2013 a oggi.

La notizia è stata data dalla Computer Sweden (per chi conosce lo svedese…) e ripresa subito da altre testate giornalistiche on-line del settore, come Bleeping Computer. Una analisi dettagliata dell’incidente è disponibile sul forum The Security Colture Framework, per chi fosse curioso di approfondire i dettagli tecnici.

A quanto risulta, questo NAS era dedicato alla raccolta delle registrazioni audio delle telefonate al servizio di emergenza (niente di strano, le chiamate anche al nostro 118 sono regolarmente registrate per motivi di sicurezza). Il problema è che il NAS era connesso in rete senza particolari protezioni e così, attraverso l’interfaccia HTTPS dell’oggetto in questione (nas.applion.se:443), era possibile ottenere l’elenco di tutti i file .wav contenenti le registrazioni delle telefonate.

Call recordings exposed, dall’articolo su BleepingComputer

Considerando che nelle chiamate di emergenza viene dichiarato spesso indirizzo, nomi e cognomi ed altre informazioni riservate, l’impatto di questo data breach è decisamente importante.

Il tutto, lo ricordo, per aver banalmente collegato alla rete un NAS (dal costo di poche centinaia di euro) senza preoccuparsi delle eventuali problematiche di sicurezza: una leggerezza che, con la normativa GDPR ormai in vigore, rischia di costare molto anche in termini economici (oltre che di immagine).

E’ un errore che mi capita di vedere piuttosto spesso: trovo collegate in Rete apparecchiature senza avere la reale consapevolezza di quali siano le misure di sicurezza adeguate da attuare: al tempo di shodan.io non vale più pensare “tanto chi vuoi che ci vada a guardare“…

Ogni volta che penso a certe leggerezze, mi viene in mente l’adagio: “Se credi che un professionista ti costi molto è perché non hai idea di quanto ti costerà un dilettante.”

(Visitato in totale 12 volte, oggi 2 visite)

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.