Unicredit attacco hacker: violati dati di 400mila clienti. "Sistema violabile"

Unicredit, hacker violano i dati di 400 mila clienti

Unicredit comunica di aver subito una attacco informatico in Italia con accesso non autorizzato a dati di clienti italiani relativi solo a prestiti personali. Tale accesso e' avvenuto attraverso un partner commerciale esterno italiano. Secondo le risultanze della banca, una prima violazione sembra essere avvenuta nei mesi di settembre e ottobre 2016, mentre e' stata appena individuata una seconda intrusione avvenuta nei mesi di giugno e luglio 2017. Si ritiene che nei due periodi siano stati violati i dati di circa 400mila clienti in Italia.

Unicredit, attacco hacker per 400.000 clienti. La banca rassicura: "password al sicuro"

La banca precisa che non e' stato acquisito nessun dato, quali le password, che possa consentire l'accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l'accesso ad alcuni dati anagrafici e ai codici Iban. Unicredit ha informato le autorita' competenti ed ha avviato uno specifico audit sul tema. In mattinata, formalizzera' altresi' un esposto presso la Procura della Repubblica di Milano. La banca ha inoltre immediatamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica.

Ripetuto attacco informatico ad Unicredit, confermata violabilità, serve una circolazione strutturata delle informazioni

Cyber Alliance “cya” in merito al ripetuto attacco ad Unicredit, riporta alcune considerazioni sia da parte del responsabile del CyberLab dell’Università Bicocca che alcune riflessioni del portavoce dell’Alliance. Il professor Andrea Rossetti, al vertice del Security Lab dell’Università Bicocca, uno dei pochi che abbina ICT con la Giurisprudenza, in merito all’attacco dell’Istituto Bancario afferma, “E' la prima volta in Italia che una banca dichiara pubblicamente e tempestivamente di essere stata vittima di un attacco informatico - questo attacco arriva dopo due grandi episodi di hacheraggio internazionale, tra maggio e giugno, e mostra come tutti i nostri dati siano sempre più esposti al rischio. E' anche probabilmente la prima volta che un attacco coinvolge un così grande numero di clienti: pare oltre 400mila. Sembra che, per questa volta e per fortuna, non siano stati sottratti dati che permettano di operare con l'account dei clienti. Non si sa ancora nulla di certo sulle modalità tecniche dell'attacco (e forse non lo sapremo mai), ma sembra che l'attacco sia partito sfruttando una vulnerabilità esterna al sistema della banca, attraverso un partner commerciale esterno italiano. La fragilità di un sistema che dovrebbe essere tra i più sicuri è l'ennesima dimostrazione che il problema della sicurezza è un tema che va affrontato a livello sistemico: non basta avere un sistema con cui lavoro sicuro, è necessario che tutti gli accessi al mio sistema siano sicuri! Se ricordate, anche l'hacking dei fratelli Occhionero era partito dalle vulnerabilità esterne al sistema che avevano attaccato. Ed è un'ulteriore dimostrazione che la sicurezza non dipende solo dall'aver un sistema sicuro: il comportamento degli utenti che in vari modo accedono al sistema è fondamentale per la sicurezza. PEBKAC dicono gli americani con un acronimo: "Problem Exists Between Keyboard And Chair", il problema si trova tra la tastiera e la sedia. Già l’anno scorso la Banca centrale europea preannunciava la creazione di un database per registrare e classificare episodi di criminalità informatica presso le banche dell'euro zona. Ma, nonostante tutti sostengano che lo scambio di informazioni sia essenziale per contrastare il problema, la procedura è ancora ai rudimenti, va attivato uno scambio di informazioni tra diversi soggetti, ivi incluse le autorità nazionali.” Enea Nepentini della Cyber Alliance spiega la posizione, “Unicredit ha un politica sulla sicurezza attenta, attiva e trasparente! Se succede questo fatto di ripetuta violazione a questo nostro prestigioso Istituto Bancario, figuriamoci il resto del settore economico e finanziario. La differenza è nel fatto che Unicredit ha una policy trasparente, già in linea con quelle che saranno le norme dal 2018, gli altri per nulla. Gli attacchi andati a buon segno sul nostro sistema bancario ci sono, di alcuni si è persa traccia. Si può affermare che quel 36% di danno di immagine per ogni attacco alle informazioni e ai sistemi determina purtroppo la motivazione nel non comunicare, questo però porta ad una contaminazione che va fermata. Gli episodi seri sono molti e a volte non vengono neppure rilevati dagli stessi istituti! Come annunciato dal Professor Rossetti, l’unica risposta valida è quella della circolazione delle informazioni. Con il prezioso e qualitativo aiuto delle Istituzioni Preposte bisogna arrivare ad un programma e un network capace, in tempo reale, di allertare e contrastare! Un circolo di informazioni costanti e immediate possono far salire la sicurezza concentrando anche i vari versanti della sicurezza cyber sul problema mirato. Questo sistema sarebbe così in grado di dare aggiornamenti al momento giusto in modo da contrastare soprattutto i fenomeni più gravi. Su questa proposizione ci si aspetta un ruolo attivo di tutti, istituzioni, società regolamentate e strategiche, società italiane della cyber security che abbiamo e sono tra le prime al mondo!”