Problema alle FFS

Problema alle FFS, l'esperto: «Chi conosce i dati personali, può anche abusarne»

Di Gil Bieler

24.1.2022

Porte aperte... tramite l'applicazione mobile delle FFS
Porte aperte... tramite l'applicazione mobile delle FFS
KEYSTONE / archivio

Un'altra fuga di dati: quelli personali e gli acquisti di biglietti di migliaia di passeggeri delle FFS erano apertamente accessibili. Un esperto informatico ci spiega a cosa possono servire questi dati e se i casi del loro uso in modo fraudolento sono in aumento.

Di Gil Bieler

24.1.2022

Signor Rennhard, se persone non autorizzate possono vedere quali viaggi in treno ho fatto, questo dovrebbe preoccuparmi?

A prima vista, i dati in questione, come nome, cognome, data di nascita e dati di movimento, non sembrano molto sensibili. Ciononostante, sorgono interessanti scenari di attacco per gli aggressori. E dato che una gran parte dei residenti in Svizzera ha probabilmente un conto presso le FFS, molti potrebbero essere potenzialmente colpiti da attacchi successivi. In generale, se si conoscono i dati personali, si può anche abusarne. 

L'esperto Marc Rennhard

Marc Rennhard è un professore di informatica specializzato in sicurezza delle informazioni all'Università di Scienze Applicate di Zurigo (ZHAW).

Quale sarebbe uno scenario concepibile?

Con i dati di movimento di una persona, posso effettuare attacchi di phishing molto mirati. Poi scrivo un'e-mail, per esempio: «Egregio signor Müller, c'è stato un problema con la fatturazione del suo viaggio in treno del giorno X da A a B, la preghiamo di controllare la fattura a questo link». Dato che hai già percorso questo tragitto, è molto più probabile che tu creda alla mail, segua il link dei truffatori e digiti i tuoi dati di accesso. Questo rende questi dati preziosi, anche se a prima vista potrebbe non sembrare così drammatico se qualcuno conosce i miei viaggi in treno. 

Può fare un altro esempio?

I criminali potrebbero anche notare che qualcuno è sempre fuori fino a tardi il lunedì sera - quindi potrebbe darsi che nessuno sia a casa in quel lasso di tempo. È così che si possono trarre conclusioni.

Finora abbiamo parlato di dati che riguardano gli spostamenti. Cosa si potrebbe fare con cognome, nome e data di nascita?

Dato che le persone devono sempre più identificarsi online, non sono poco interessanti. Se dimentichi la tua password su un sito web, la tua data di nascita potrebbe essere tra le domande di controllo per resettare la tua password. In ogni caso, tutte le informazioni portano gli assalitori un passo avanti. 

Anche le violazioni dei dati al registro delle donazioni di organi e a Meineimpfung.ch hanno fatto scalpore. Gli aggressori possono trovare una vulnerabilità su ogni piattaforma?

Fondamentalmente, non è terribilmente difficile sviluppare una piattaforma con un buon livello di sicurezza. Devi solo farlo bene e con coerenza. Ma la sicurezza costa, e non tutti gli sviluppatori di software sono ugualmente ben addestrati in questo campo, e non tutte le aziende vi attribuiscono la stessa importanza. In tutti gli esempi citati, presumo che semplici errori di software siano stati il problema. Si può pensare alla sicurezza nel settore IT come a una polizza assicurativa: si vedono i suoi benefici solo in caso di emergenza.

I casi di queste fughe di dati sono in aumento?

Questo è difficile da quantificare, perché non tutto è reso pubblico. Ma certamente reagiamo più fortemente a una fuga di dati in un portale svizzero che a un e-shop in un paese lontano. Anche la vaccinazione contro il Covid e la donazione di organi sono questioni politiche, che possono contribuire all'impressione che questi attacchi si stiano avvicinando. Ma oso dubitare che questo sia effettivamente il caso. Anni fa, la sicurezza online era una questione molto meno importante, quindi la consapevolezza è decisamente migliorata. D'altra parte, gli attacchi stanno diventando più sofisticati.