A partire dalla mattina dell’11 settembre (ma secondo molte testimonianze probabilmente addirittura dal giorno prima) un attacco hacker (che, in un primo momento, in molti avevano dato per un attacco DDoS) ha colpito il sito della società Zetema, azienda partecipata al 100% dal comune di Roma che opera nel settore Cultura.
Pur non essendo Zetema una realtà di grandissime dimensioni, essa comprende un importante «ecosistema» interno (287 impiegati, 70 operatori turistici, 83 addetti alle biblioteche, parlando solo di figure professionali con contratti a tempo indeterminato) e ha da qualche tempo avviato una procedura per l’assunzione di 70 dipendenti, tramite concorso a cui hanno partecipato 40mila persone[1]. Si tratta perciò di una potenziale esfiltrazione di dati personali riconducibili a migliaia di cittadini, italiani ma anche stranieri in quanto parte dell’attività dell’azienda prevede anche la gestione delle prenotazioni per l’accesso a eventi e poli museali (che, quindi, riguarda milioni di turisti).
Inoltre, Il sito ha un milione e 100 mila visitatori, quindi a rischio ci sono altrettante identità digitali e, potenzialmente, password[2].
Allo stato attuale non è ancora dato sapere con certezza se possa trattarsi di un attacco ricollegabile alla «cyber war» parallela al conflitto militare in Ucraina. Ciò che pare emergere, però, in queste ultime ore è che si sia trattato – contrariamente alle prime ipotesi – di un attacco perpetrato attraverso un ransomware, che avrebbe criptato e quindi reso inaccessibile buona parte dei dati informatici dell’azienda.
Il sindaco di Roma Roberto Gualtieri ammette che sussiste una certa preoccupazione e la questione è stata presa molto seriamente: «È stato un attacco molto pesante, dimostra la portata della sfida della cybersecurity e anche che abbiamo fatto bene a dotarci di un dipartimento dedicato a questo, perché purtroppo è una realtà del nostro tempo. L’attacco a Zetema è molto significativo».
Non sono ancora state rese pubbliche eventuali rivendicazioni ma, se le modalità attuative in un primo momento avevano fatto pensare ad un atto dimostrativo più che ad un’azione criminosa a scopo ricattatorio, le nuove informazioni rendono la situazione ancor più confusa: potrebbe trattarsi di gruppi hacker filorussi, oppure un’organizzazione criminale strutturata che spera di far fruttare i dati sensibili trafugati dal sistema?
O, come in molti dei casi riscontrati in passato, una combinazione di entrambe le possibilità (non è raro che gruppi APT state sponsored uniscano finalità ideologiche al tornaconto economico).
Quel che è certo è che, proprio pochi giorni fa, lo stesso sottosegretario alla Presidenza del Consiglio dei ministri Alfredo Mantovano sottolineava come gli attacchi informatici in territorio italiano si siano moltiplicati a partire dall’inizio del conflitto in Ucraina e che molti di questi – ad esempio quelli che hanno interessato alcune Asl nel territorio nazionale – sono attribuibili molto verosimilmente ad attivisti filorussi.
Al momento in cui scriviamo, sono tuttora molteplici i domini riconducibili alla gestione Zetema per conto di Roma Capitale che risultano ancora fuori servizio. Oltre al sito www.zetema.it, infatti, sono al momento irraggiungibili (riportando il messaggio di errore «connection timed out») le seguenti pagine web:
- museiincomuneroma.it
- sovraintendenzaroma.it
- miccard.roma.it
- culture.roma.it
- 060608.it
- turismoroma.it
- romapass.it
- informagiovaniroma.it
- romacura.roma.it
- technotown.it
- casinadiraffaello.it
- progettoabc.it
L’azienda, nella giornata dell’11, ha rilasciato un comunicato, dichiarando quanto segue:
«In seguito alle prime verifiche tecniche, svolte con il supporto di una primaria società del settore, si è evidenziato un attacco di natura informatica. L’azienda ha tempestivamente informato l’Autorità Garante per la protezione dei dati personali e sta procedendo a informare le autorità competenti. Attualmente sono state attivate tutte le misure necessarie per ripristinare i servizi nel minor tempo possibile».
AGGIORNAMENTO 14/09/23:
Nella giornata di ieri i tecnici delle forze dell’ordine sono riusciti a rimettere online il sito informagiovaniroma.it.
AGGIORNAMENTO 19/09/23:
Al momento risultano tornati al normale funzionamento i seguenti siti:
AGGIORNAMENTO 26/09/23:
Alla data odierna, sembrano ripristinati gli ulteriori siti web:
Inoltre, l’azienda ha dichiarato che i dati dei 40mila partecipanti all’ultimo concorso pubblico sono stati preservati dal rischio di cancellazione: «Tutti i dati personali contenuti nelle domande di partecipazione e relativi allegati sono stati caricati sulla piattaforma di un fornitore esterno, incaricato dall’azienda anche della gestione delle prove d’esame. Non sono pertanto esposti a rischi e nessun rallentamento subiranno le procedure selettive»[3].
Resta d’altronde ancora da verificare, però, l’eventualità che porzioni più o meno estese di questo ed altri dataset anagrafici siano stati esfiltrati durante l’attacco.
