Booking nel mirino degli hacker, l’intervista dell’esperto ad Affaritaliani
Booking.com è finita al centro di un caso di violazione dei dati: la società ha parlato di attività sospette che avrebbero consentito a soggetti non autorizzati di accedere a informazioni legate alle prenotazioni, come nomi, email, numeri di telefono e dettagli dei soggiorni, escludendo al momento il coinvolgimento di dati finanziari.
Intanto il Codacons ha annunciato una battaglia legale e ha messo in guardia gli utenti dal rischio di truffe e phishing.
Per capirne di più, Affaritaliani ne ha parlato con Mattia Salerno, avvocato specializzato in diritto delle nuove tecnologie.
Leggi anche: Terremoto in Booking.com, la piattaforma nel mirino degli hacker: violati i dati degli utenti. Possibile accesso a nomi, mail e dettagli delle prenotazioni
L’intervista all’esperto: Mattia Salerno, Avvocato specializzato in diritto delle nuove tecnologie
Booking sotto attacco: com’è possibile?
“Ormai è un fenomeno diffuso: le organizzazioni coinvolte in questo tipo di attacchi malevoli sono tantissime e questi attacchi hanno ormai un livello di struttura e sofisticazione tale da consentire di colpire qualsiasi organizzazione.
Oggi parliamo di Booking, ma potenzialmente possono essere coinvolte banche, ospedali, assicurazioni. La dimensione del soggetto attaccato, quindi, è un elemento che lascia un po’ il tempo che trova.
Bisogna partire dal presupposto che la maggior parte di questi attacchi nasce, o comunque è resa possibile, da un errore umano. Per quanto l’organizzazione possa essere dotata di misure di sicurezza adeguate, in molti casi l’attaccante riesce a introdursi all’interno dei sistemi semplicemente con una mail di phishing o con un ransomware, cioè un software malevolo usato per bloccare o cifrare i dati e chiedere un riscatto. Basta che un utente poco attento clicchi su un link o su una mail sospetta e, di conseguenza, consenta all’attaccante di inserirsi all’interno dell’organizzazione.
Va anche considerato che il momento dell’ingresso e quello dell’attacco vero e proprio possono essere molto lontani tra loro. Può accadere che l’accesso ai sistemi avvenga in una prima fase e che l’attacco si manifesti anche a distanza di mesi. Questo perché l’attaccante, una volta entrato, si muove all’interno del sistema e individua i punti più opportuni per intervenire.
Queste tipologie di attacchi possono avere un livello di invasività diverso, a seconda sia della tempestività con cui vengono intercettati sia della capacità dell’attaccante. In alcuni casi possono comportare una perdita di integrità o di disponibilità del dato. Nei casi più gravi, come pare nel caso di Booking, ci può essere un accesso non autorizzato alle informazioni e addirittura una loro esfiltrazione”.
Serve per forza una falla tecnica?
“Non necessariamente. Dal punto di vista meramente tecnico, un attacco di questo tipo non è possibile solo in presenza di vulnerabilità tecniche.
Dal punto di vista tecnologico, puoi anche avere difese molto elevate, ma se poi è un utente a commettere un comportamento imprudente, per quanto tu possa essere organizzato, puoi comunque consentire l’accesso dell’attaccante.
Dall’altra parte, gli effetti negativi derivanti dall’attacco possono essere mitigati dalla velocità con cui lo intercetti e ti rendi conto di avere un intruso all’interno del sistema, oltre che dalle azioni immediatamente successive.
Nel caso specifico, dal punto di vista legale si parla di data breach, cioè di una violazione dei dati personali. È un evento che può avere un impatto sui diritti e sulle libertà degli interessati. La società ha ritenuto che ci potessero essere rischi per i dati dei propri utenti e di conseguenza li ha informati dell’accaduto, applicando anche misure di mitigazione, come il cambio del PIN, per ridurre eventuali effetti negativi o pregiudizievoli che gli utenti potrebbero subire a causa dell’attacco.
Il cambio del PIN rientra tra quelle misure di mitigazione che vengono adottate per minimizzare il rischio anche in capo al soggetto interessato, perché evidentemente, con quella modifica, la prenotazione non è più accessibile al soggetto attaccante e, di conseguenza, metto l’interessato, e quindi il cliente, in una posizione di maggiore tutela rispetto all’evento”.
Quali dati rischiano davvero gli utenti?
“Le notizie, fanno pensare che nessun dato finanziario sia stato coinvolto. Però questo è ciò che emerge finora. Solitamente il dettaglio specifico delle informazioni che sono state oggetto di compromissione non è immediatamente disponibile. Quindi è un’analisi che sarà ancora in corso e che potrà eventualmente comportare integrazioni sia nei confronti delle autorità sia nei confronti dei soggetti interessati”.
Che cosa succede ora sul piano legale?
“Sicuramente è verosimile che, se è stata fatta una comunicazione agli interessati, sia stata fatta anche una comunicazione all’autorità di protezione dei dati personali competente per territorio, tenendo conto che la società ha sede ad Amsterdam.
Di solito cosa accade? La società notifica l’accaduto all’autorità in un tempo molto breve, perché l’obbligo di notifica dei data breach è di 72 ore dal momento in cui viene a conoscenza dell’evento. Poi, nel momento in cui l’organizzazione ritiene che l’evento comporti un rischio elevato per i diritti e le libertà degli interessati, informa anche i soggetti coinvolti. E questo sembrerebbe essere il caso.
Ora svolgeranno tutte le indagini di digital forensic, quindi un’analisi forense informatica per ricostruire l’attacco, determinare con precisione la tipologia dei dati coinvolti o confermare quali dati siano stati oggetto di compromissione”.
Ci saranno altri sviluppi?
“Ora bisogna capire se gli attaccanti compiranno ulteriori azioni oppure no, perché in questi casi può accadere anche che chi ha portato l’attacco sia riuscito a esfiltrare una porzione dei dati compromessi e poi formuli una prima richiesta di riscatto. Se questa richiesta non viene accolta, si può arrivare alla pubblicazione prima di un sample e poi dell’intera base dati compromessa, solitamente nel dark web“.
Che cosa devono fare gli utenti?
“Quello su cui bisogna richiamare maggiormente l’attenzione è che gli utenti che hanno ricevuto questa comunicazione devono assumere un atteggiamento molto prudente rispetto ai loro account e, di conseguenza, non solo aggiornare le credenziali direttamente legate a Booking, se non è stato già fatto da Booking stesso, ma anche fare particolare attenzione a ulteriori tentativi di phishing che l’organizzazione attaccante dovesse tentare di effettuare sfruttando i dati che ha a disposizione, quindi la conoscenza del singolo utente”.