Aggiornamenti recenti Dicembre 15th, 2025 2:32 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’IA al centro delle strategie di cybersecurity future: le previsioni di Crowdstrike
- CERT-AGID 6–12 dicembre: cresce l’uso di Figma e Webflow nel phishing
- Apple interviene su due zero-day sfruttati attivamente in attacchi mirati
- Misterioso guasto satellitare: centinaia di Porsche “bloccate” in Russia
- Patch Tuesday, Microsoft risolve una vulnerabilità già sfruttata e due zero-day
Mega-Leak in Svezia, ma gli hacker non c’entrano
Il database dell’ente dei trasporti nelle mani di operatori stranieri. Contiene informazioni sensibili su cittadini, forze di polizia e militari. “Ignorate le norme di sicurezza nella gestione dei dati”.
Sono sempre di più le amministrazioni pubbliche che decidono di abbandonare la gestione diretta dei dati e affidarla a società private. Si chiamano esternalizzazioni e, di solito, vengono fatte per risparmiare sui costi relativi (soprattutto) agli impiegati.
In qualche caso, però, i costi possono superare i benefici. Soprattutto se in un passaggio delicato come il trasferimento dei dati vengono completamente ignorate le misure di sicurezza.
È quello che è successo al governo svedese, che in questi giorni è travolto da uno scandalo legato alla gestione del database dell’ente dei trasporti (simile alla nostra motorizzazione) e alla possibilità che la sua esternalizzazione abbia esposto al rischio che dati sensibili siano finiti nelle mani di paesi stranieri.
Tutto comincia nel 2015, quando l’ente dei trasporti decide di affidare la gestione del suo database a IBM in Repubblica Ceca e la gestione di firewall e sicurezza a NCR in Serbia.
La procedura richiederebbe una serie di verifiche sull’affidabilità delle persone coinvolte nella gestione del database (soprattutto per quanto riguarda i collaboratori esterni) che contiene dati e informazioni riguardanti non solo milioni di cittadini, ma anche veicoli militari e delle forze di polizia.
Il problema è che dalle parti dell’amministrazione svedese hanno fretta di tagliare i costi e hanno già cominciato a licenziare parte del personale. Il direttore generale Maria Ågren decide così di “velocizzare” la procedura. Il database viene quindi trasferito sui server cloud delle società private in tutta fretta e con i dati in chiaro.
L’ex-direttore generale dell’ente dei trasporti svedese Maria Ågren è finita sotto processo per aver gestito in maniera inadeguata i database dell’amministrazione.
Risultato: chiunque sia stato coinvolto nel processo (si parla di un numero imprecisato ma decisamente cospicuo di persone) ha avuto la possibilità di farsene una copia.
I servizi segreti svedesi si rendono conto di quello che è successo solo nel 2016, ed è a questo punto che parte l’indagine. La Serbia, infatti, non è considerata esattamente uno degli “alleati” della Svezia e quella che le informazioni siano finite a servizi di intelligence nell’orbita della Russia di Putin sarebbe più che una semplice ipotesi.
Stando a quanto riportato dalla stampa svedese, non si tratterebbe di informazioni di poco conto. Tra i dati ci sarebbero infatti i dettagli personali di tutti i cittadini svedesi (compreso un registro delle forze di polizia), quelli dei membri delle truppe di elite dell’esercito e dei piloti militari e civili.
Esporre al rischio di leak le informazioni sui piloti di caccia non è propriamente un’idea brillante.
Non solo: le informazioni comprenderebbero un elenco di tutti i veicoli militari o comunque in uso al governo e informazioni sulle infrastrutture di trasporto svedesi. Insomma: una sorta di “radiografia” del paese scandinavo su cui qualsiasi agente segreto straniero metterebbe le mani volentieri.
Come riporta il fondatore del Partito Pirata Rick Falkvinge, a questo si è aggiunta una surreale fuga di notizie legata alla fornitura dei dati dell’ente dei trasporti alle aziende di marketing. Secondo quanto riporta Falkvinge, in una delle normali comunicazioni dei dati relativi ai cittadini (si tratta di informazioni che sono in ogni caso pubblicamente accessibili) sarebbero stati compresi anche i nomi di collaboratori di giustizia sottoposti al programma di protezione testimoni.
La parte più sconvolgente della vicenda, però, è che una volta resisi conto dell’errore, l’amministrazione ha pensato bene di contattare tutte le aziende di marketing via email pregandole di cancellare i nomi “sensibili” dagli elenchi che gli erano stati inviati.
Insomma: se prima le identità segrete erano per lo meno confuse tra milioni di record, con la seconda comunicazione l’ente dei trasporti ha in buona sostanza fornito un elenco completo di identità segrete a decine di impiegati che ne potranno fare qualsiasi uso.
In seguito allo scandalo Maria Ågren si è dimessa ed è stata sottoposta a processo. Condannata, l’ex direttrice generale ha però subito come unica conseguenza una multa pari al 50% del suo stipendio mensile, poco più di 7.000 euro. Ci fossero stati coinvolti degli hacker, probabilmente avremmo parlato di ergastolo.
Condividi l'articolo
Più di 500.000 computer colpiti dal trojan Statinko
Valve tappa una falla in Steam. Possibile inviare malware agli utenti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
L’IA al centro delle strategie di cybersecurity... Il 2025 sta giungendo al termine e nel mondo della... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),... -
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 6–12 dicembre: cresce l’uso di Figma e... Nel periodo compreso tra il 6 e il 12 dicembre,... -
Apple interviene su due zero-day sfruttati attivamente in... Apple ha rilasciato degli aggiornamenti di sicurezza... -
Misterioso guasto satellitare: centinaia di Porsche... Panico in Russia: centinaia di Porsche sono rimaste... -
Patch Tuesday, Microsoft risolve una vulnerabilità già... Nel bollettino del Patch Tuesday di dicembre Microsoft ha... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),...
Ransomware: la serie
No posts found.