Ferragosto nero per Postel, società controllata da Poste italiane che si occupa di invii massivi di posta e direct marketing. Il gruppo è stato colpito da un attacco informatico a opera della gang ransomware Medusa, che ha dichiarato sul proprio sito di essere in possesso di una mole enorme di dati di Postel, che vanno da documenti personali dei dipendenti, abilitazioni Spid, file di tipo fiscale e amministrativo, informazioni su assunzioni regolate dalla legge 104 (che regola l’assistenza e l’integrazione delle persone con disabilità), cedolini e dati su Covid-19. Non solo: Medusa, secondo la classica strategia della doppia estorsione adottata dai gruppi criminali ransomware, minaccia di rendere pubbliche le informazioni se non sarà pagato un riscatto di 500mila dollari. O tranche di 10mila dollari al giorno per posticipare di 24 ore la scadenza. Pena, 8 giorni dopo la violazione, la diffusione dei dati sottratti.
Cosa sappiamo:
- L’attacco
- I dati
L’attacco
Poste Italiane, dopo richiesta di informazioni da parte di Wired, ha diffuso una nota stampa nella quale informa che Postel “ha individuato delle attività anomale sui propri sistemi, attribuibili ad
un attore esterno non autorizzato. Le attività hanno interrotto l’operatività di alcuni server,
nonché di alcune postazioni di lavoro distribuite sul territorio nazionale“. L’attacco ha messo ko il sito, che è rimasto offline fino alla mattinata di mercoledì 16 agosto. “A fronte delle attività anomale sono state tempestivamente avviate le necessarie attività di verifica, al fine di individuare i potenziali impatti sui sistemi e intraprendere le opportune e conseguenti azioni di mitigazione e di ripristino dell’operatività”.
Anche Agid, l’Agenzia per l’Italia digitale che affianca gli enti pubblici in campo informatico, si è attivata per segnalare l’intrusione ai danni di Postel, come dichiarato in un commento pubblico su X, l’ex Twitter. A rilevare per primo l’attacco di Medusa alla società della galassia di Poste è stato il progetto Dashboard ransomware monitor, che ha registrato la violazione alle 11.43 del 15 agosto. Nella nota di Poste si legge che “l’estromissione dai sistemi di Postel dell’attore malevolo è avvenuta prontamente in prossimità del rilevamento delle attività anomale stesse”.
Poste fa sapere che “attualmente risultano essere stati interessati solo dati interni all’azienda” e che “la società ha già è parzialmente ripristinato i servizi e sta lavorando per completare
velocemente il completo ripristino dei sistemi. Inoltre, è già stata verificata la completa
disponibilità degli archivi di backup dei sistemi, verifica che permetterà una completa azione
di recupero“. Ciononostante, a giudicare dalle anticipazioni fornite dai criminali, Medusa ha messo le mani su un ingente bottino di dati personali dei dipendenti, tra cui informazioni su aspettative, congedi parentali, legge 104, malattie, infortuni e maternità. Poi password, accessi a Spid (il sistema pubblico di identità digitale) sia di Postel sia di una cartella che fa riferimento a Regione Liguria (non è chiaro se questi dati siano riferibili all’ente ligure), poi ambienti di sicurezza per comunicare con l’Agenzia delle entrate. E ancora: cassetti previdenziali, informazioni su costi deducibili e altre informazioni su budget aziendali, valutazioni interne delle performance, costi.
I dati
Come riporta su X Christian Bernieri, data protection officer, che ha sollevato l’attenzione sull’attacco ransomware e visionato le anticipazioni dei dati, è paradossale che tra le informazioni esfiltrate ve ne siano di relative alle procedure per la privacy e la protezione dei dati. Tra questi un documento sull’accantonamento di fondi per rischi legati proprio al tema privacy e uno su contestazioni di una presunta violazione. Nel 2013 Postel era stata condannata dal Garante della privacy al pagamento di una multa di 340mila per aver violato alcune norme del settore della protezione dei dati in merito alla tenuta di database di aziende (un caso non inerente alla violazione attuale).
Postel è controllata al 100% da Poste Italiane. Guidata dal presidente Giovanni Ialongo e dall’amministratore delegato Giovanni Fantasia, offre vari servizi in ambito postale e logistico. Come stampe e invii massivi di comunicazioni, lettere o materiale di marketing. E poi si occupa di gestione dei documenti, conservazione digitali, fatturazione elettronica e altri servizi in ambito archivistico che rendono l’attività del gruppo molto delicato. Tanto che il ripristino pieno dell’operatività è ancora in corso. Poste spiega che “allo stato attuale si è proceduto al ripristino parziale di alcuni sistemi, in particolare dei sistemi business critical”.
