Cosa succederebbe se i dati contenuti sul sito di Atac dovessero essere vulnerabili?

Dopo quasi 24 ore dalla comunicazione dell’attacco hacker nei confronti di Atac – e nonostante le rassicurazioni da parte della comunicazione dell’azienda dei trasporti pubblici di Roma -, ci sono state ancora delle difficoltà nell’accessibilità ai portali nella mattinata del 23 marzo. Questa situazione risulta essere piuttosto anomala in presenza di un semplice attacco DDos, come quelli che vengono abitualmente realizzati dal gruppo di hacktivisti di NoName057. Inoltre, questi ultimi hanno condotto azioni simili – nello stesso lasso temporale – anche nei confronti di altri portali (istituzionali o legati ai trasporti) che, però, non dimostrano di avere quelle stesse difficoltà che vengono rilevate sul sito di Atac. In più, c’è un’altra circostanza che andrebbe presa in considerazione: quella dello slittamento delle comunicazioni relative all’attacco hacker di Atac (di cui vi abbiamo già dato conto).

LEGGI ANCHE > Perché i siti degli enti italiani sono così inclini a subire un attacco DDos

Dati personali Atac e i possibili rischi dopo l’attacco hacker

La rivendicazione dell’attacco ad Atac da parte degli hacktivisti di NoName057, infatti, è arrivata sul loro canale Telegram ufficiale alle 11 circa del 22 marzo, ben due ore dopo rispetto alla prima comunicazione di un attacco hacker legata ad Atac che è stata diffusa dal Comune di Roma. È una circostanza piuttosto particolare, dal momento che sempre intorno alle 9 (e poi successivamente alle 10), sempre nello stesso canale erano comparse altre rivendicazioni di NoName057 legate ad altri attacchi informatici a enti italiani (quello al sito del ministero dei Trasporti, ad esempio, e quello dell’Autorità di Regolazione dei Trasporti). Se l’attacco hacker ad Atac era già cosa avvenuta, perché non rivendicarlo contemporaneamente alle altre azioni?

Quando si verificano queste circostanze, il timore è quello di trovarsi in presenza non solo di un “semplice” attacco DDos, ma soprattutto di un data breach. Con implicazioni molto più significative. Nel primo caso, infatti, il disagio sarebbe limitato all’inaccessibilità momentanea a un portale digitale, nel secondo caso – al contrario – si configurerebbe un problema per le centinaia di migliaia di dati conservati dagli stessi portali digitali.

I dati di Atac

La quantità di dati che viene gestita da Atac è davvero importante. Come si può evincere dalla pagina delle privacy policies dell’azienda dei trasporti, infatti, ci sono i dati di navigazione nel sito (necessari a: consentire la navigazione del Sito e l’erogazione dei servizi a disposizione; elaborazione di statistiche; invio di newsletter e comunicazioni promozionali ), ma ci sono anche quelli relativi agli abbonati, alle eventuali morosità, i dati necessari all’accesso di una scontistica sugli abbonamenti (ad esempio, l’ISEE per le esenzioni o le certificazioni di eventuali disabilità). Sono soltanto alcuni dei dati personali che possono essere stati utili all’utilizzo dei servizi messi a disposizione da Atac.

Secondo quanto indicato dal Garante della protezione dei dati personali, un data breach potrebbe verificarsi anche in caso di «impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware». Dunque, al momento, quest’ultima circostanza potrebbe rappresentare una possibilità. Al momento, tuttavia, l’azienda dei trasporti romana non ha evidenziato alcuna violazione da questo punto di vista. Vale appena la pena ricordare, del resto, che la possibilità di effettuare questa comunicazione deve avvenire entro e non oltre le 72 ore dal momento in cui l’azienda è venuta a conoscenza di tutto ciò.