Con un attacco lanciato il 21 ottobre 2018, dei criminali informatici sono entrati in possesso di nomi, cognomi, codici fiscali e codici identificativi di 731.519 clienti di Unicredit. Gli attaccanti hanno anche individuato le password di 6.859 utenze, alle quali la banca ha bloccato l’accesso una volta scoperta l’intrusione.
Nella notifica di violazione inviata dall'Autorità Garante per la privacy il giorno dopo la scoperta della falla, la banca precisa che “non risulta che ci sia stato accesso a dati bancari dei clienti né che siano state effettuate operazioni”.
Intorno al 10 gennaio, numerosi clienti di Unicredit si erano visti recapitare per posta una lettera con la quale venivano informati dell’episodio, come riportato la prima volta dallo scienziato ed esperto di cyber security Alessandro Curioni su Lettera43.
Nella comunicazione la banca scriveva di aver “intercettato e sventato un tentativo di intrusione informatica”, che ha portato anche all’esposizione degli Ndg (codici identificativi clienti) e dei Reb (codici identificativi per l’accesso al servizio di Banca Multicanale). Ragione per la quale si raccomandava, al fine di garantire la più ampia sicurezza, “di provvedere al cambio delle password e dei codici segreti utilizzati per l’accesso”.
I rischi evidenziati dal Garante
Ma immediatamente dopo la scoperta della falla, Unicredit aveva provveduto ad avvisare i soli clienti dei quali fosse stata individuata la password, oltre ad aver pubblicato un comunicato sul sito web del proprio Gruppo, nella sezione "Notizie". Tuttavia le misure intraprese erano state ritenute insufficienti dal Garante, che ha chiesto di informare tutti gli oltre 700 mila utenti coinvolti.
Le informazioni sottratte, si legge nel provvedimento, “costituiscono dati direttamente e univocamente identificativi che, alla luce delle tecnologie disponibili, possono essere utilizzati come chiavi di ricerca per individuare in rete l´interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili (quali, a esempio, un recapito telefonico o un indirizzo di posta elettronica)”.
Tali informazioni, prosegue il Garante, “potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza dei dati personali da parte dei soggetti terzi che hanno condotto l’attacco informatico”. Il timore è dunque che un truffatore possa inviare agli utenti comunicazioni che emulano quelle ufficiali di banche o altri servizi, servendosi delle informazioni acquisite per renderle più credibili.
Contattata via mail per un commento, Unicredit ha risposto ad Agi: "Come già comunicato nell'ottobre 2018, si è verificato un tentativo doloso di accedere all'home banking dei clienti di UniCredit in Italia. Il tentativo è stato prontamente intercettato e bloccato e l'incidente è stato chiuso e risolto sia relativamente ai clienti che relativamente ai rapporti con le autorità competenti. A seguito di questo episodio, per garantire la massima Sicurezza dei clienti, UniCredit ha chiesto ad alcuni propri clienti di modificare le loro password come misura precauzionale".
L’attacco
Secondo la ricostruzione fornita dalla banca, per ogni tentativo di accesso a un account con il corretto Reb (codice identificativo per l’accesso al servizio di Banca Multicanale), anche nel caso in cui la password fosse sbagliata, la banca restituiva le informazioni relative all’utente. Per i criminali informatici è stato sufficiente servirsi di uno strumento di compilazione automatica che, tramite “l’utilizzo massivo di codici sequenziali” tentava di indovinare i Reb corretti, acquisendo le informazioni fornite ogni qualvolta che un tentativo coincideva con un Reb esistente.
Unica informazione in più per quanto riguarda i 6.859 utenti a cui è stata anche sottratta la chiave d’accesso è che le vittime avevano password più “deboli”, che gli intrusi hanno potuto indovinare, probabilmente utilizzando lo stesso metodo. A questo proposito, la banca assicura che “è in corso di implementazione un meccanismo per forzare l’utilizzo di password complesse”.
Cosa fare
Il rischio maggiore a seguito di questo furto, è che i dati acquisiti vengano usati per generare finte comunicazioni - il cosiddetto phishing - nelle quali si cerca di indurre l’utente a fornire altre informazioni personali o ad accedere a siti che contengono virus. È sempre opportuno che gli utenti prestino attenzione alla provenienza delle mail e a non aprire link o allegati sospetti.
Leggi anche: Cambiate le password, Collection #1 è il più grande furto di email della storia
Un’altra possibilità è che qualcuno si possa servire delle informazioni raccolte per tentare di accedere ad altri servizi collegati agli utenti, dal momento che spesso vengono usate informazioni personali facilmente memorizzabili - come le date di nascita - per creare le proprie password.
Il precedente
Nel 2017 la banca aveva confermato di aver subito altre due intrusioni: una nel periodo tra settembre e ottobre del 2016 e una nel luglio del 2017. Nei due attacchi sarebbero stati “violati i dati di circa 400.000 clienti in Italia”. La banca aveva tuttavia rassicurato i suoi clienti spiegando che non era stato acquisito “nessun dato, quali le password, che possa consentire l'accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN”, come riportato da Repubblica.