USA, UK e NZ accusano la Cina: gli hacker di APT31 spiano milioni di cittadini

hacker blacktech
Funzionari statunitensi, britannici e neozelandesi hanno accusato Pechino di una vasta campagna di cyberspionaggio che avrebbe colpito milioni di persone, tra cui legislatori, accademici e giornalisti, e aziende.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Alcuni funzionari statunitensi e britannici hanno accusato Pechino di una vasta campagna di cyberspionaggio che avrebbe colpito milioni di persone, tra cui legislatori, accademici e giornalisti, e aziende.

Le autorità dei due Paesi hanno soprannominato il gruppo di hacking Advanced Persistent Threat 31 o “APT31”, definendolo un braccio del Ministero della Sicurezza di Stato cinese che avrebbe come principali obiettivi collaboratori della Casa Bianca, senatori statunitensi, parlamentari britannici e funzionari governativi di tutto il mondo che hanno criticato Pechino, ma anche i principali fornitori di apparecchiature di telefonia mobile 5G e di tecnologia wireless e persino i coniugi di alti funzionari e legislatori statunitensi.

L’obiettivo dell’operazione di hacking globale sarebbe quello di reprimere i critici del regime cinese, compromettere le istituzioni governative e rubare segreti commerciali”, ha dichiarato in un comunicato il vice procuratore generale degli Stati Uniti Lisa Monaco. In un atto d’accusa pubblicato ieri contro sette dei presunti hacker cinesi, i procuratori statunitensi hanno dichiarato che l’hacking ha portato alla compromissione, confermata o potenziale, di account di lavoro, e-mail personali, archivi online e registrazioni di chiamate telefoniche appartenenti a milioni di americani.

cina hacker

I funzionari britannici hanno accusato l’APT31 di aver hackerato i legislatori critici nei confronti della Cina e hanno affermato che un secondo gruppo di spie cinesi è dietro l’hacking dell’organo di controllo elettorale britannico che, separatamente, ha compromesso i dati di altri milioni di persone nel Regno Unito. L’ambasciata cinese a Londra ha definito le accuse “completamente inventate e calunniose” e in generale il governo cinese ha esortato gli Stati Uniti e la Gran Bretagna a smettere di politicizzare la questione della sicurezza informatica, di calunniare e infangare la Cina e di imporre sanzioni unilaterali al Paese.

“È una pura manovra politica quella degli Stati Uniti e del Regno Unito, che si scagliano contro i cosiddetti cyberattacchi compiuti dalla Cina e sanzionano individui ed entità cinesi”, ha dichiarato il portavoce del ministero degli Esteri cinese Lin Jian durante un incontro con la stampa. Lin ha aggiunto che la Cina ha presentato decise rimostranze a tutte le parti interessate e che “prenderà le misure necessarie per salvaguardare i legittimi diritti e interessi della Cina”.

Diversi altri Paesi hanno lanciato accuse di hacking e cyberattacchi contro la Cina, tutte negate dal Paese. Tra questi anche la Nuova Zelanda, il cui governo ha dichiarato di aver sollevato preoccupazioni con il governo cinese in merito al suo coinvolgimento in un cyber hacking ai danni del parlamento neozelandese nel 2021. Negli ultimi anni, anche la Cina ha iniziato però a denunciare le presunte operazioni di hacking occidentali. L’anno scorso, ad esempio, il Ministero della Sicurezza di Stato ha affermato che la National Security Agency statunitense era penetrata ripetutamente nel gigante cinese delle telecomunicazioni Huawei Technologies.

apt31CinaCybercrimehacker cinesi
// Data pubblicazione: 26.03.2024
Condividi:
 

Il data breach del 2018 costa caro a Unicredit: multa di 2,8 milioni di euro dal Garante per la privacy

ia phishing
Secondo il Garante per la privacy le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Nel sanzionare UniCredit con una multa di 2, 8 milioni di euro per una violazione di dati personali (data breach) avvenuta nel 2018 che ha coinvolto migliaia di clienti ed ex clienti, il Garante per la privacy ha affermato che le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente.

Dalle verifiche effettuate dall’Autorità è emerso che la violazione era avvenuta a causa di un attacco informatico massivo al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778.000 clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.

Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita).

garante privacy

Il Garante ha inoltre considerato ai fini dell’entità della sanzione l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Con l’adozione di un secondo provvedimento, l’Autorità è intervenuta anche nei confronti di NTT Data Italia, sanzionando la società con una multa di 800.000 euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.

Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto a un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.

data breachgarante privacysicurezza bancheUniCredit
// Data pubblicazione: 12.03.2024
Condividi: