Unicredit, data breach per 731.519 correntisti

Nell’ottobre dello scorso anno Unicredit ha subìto un attacco che mirava a ottenere dati sui correntisti dal sito web della banca. Oggi, grazie a un provvedimento del Garante per la privacy i cui effetti si registrano in questi giorni, sono noti alcuni dettagli.

L’attacco, mascherato attraverso la rete Tor, consisteva nel provare un numero enorme di login con codici sequenziali e una password statica. La cosa interessante, come si legge nel provvedimento, è che questo tentativo di per sé goffo e tecnologicamente stupido ha incredibilmente avuto un margine di successo.

Infatti il sito di Unicredit al tempo dell’attacco sembra non avesse alcun meccanismo per bloccare i tentativi di accesso quando questi superano un certo numero in un certo lasso di tempo (ad es. non più di 10 tentativi falliti entro 1 ora), lo si evince dal documento che recita:

l’attacco è stato attuato attraverso l’utilizzo massivo di codici sequenziali per individuare quali di essi corrispondessero a REB code effettivamente esistenti (codice identificativo personale per l’accesso al sistema di on-line banking)

In altre parole, io potevo provare milioni di codici sequenziali (0000001, 0000002, 0000003, ecc) e il sistema me li faceva inserire tutti senza staccare la spina al mio indirizzo IP e senza chiedermi un captcha per assicurarsi che dietro alla richiesta vi fosse una persona e non uno script.

Sembra inoltre che se il codice corrispondeva effettivamente al login di un utente, il sito restituiva un messaggio diverso, consentendo quindi agli hacker di compilare una lista di codici REB effettivamente esistenti (gli hacker così facendo ne hanno individuati ben 731.519). Come se non bastasse, quando il codice sequenziale corrispondeva a un REB esistente, “alcuni dati personali di clienti [OMISSIS] erano visibili nel codice di risposta all’interrogazione“.

Quali dati non si sa, ma è preoccupante che alcuni dati personali fossero comunque disponibili quando qualcuno sbagliava accesso al sito.

Ma c’è dell’altro. Gli hacker nei loro attacchi hanno usato una password statica. Anche in questo caso non è dato sapere quale fosse, ma non ci vuole molta fantasia per immaginare che abbiano inserito una password debole e frequentemente utilizzata (ad esempio “123456”, “password” o altre). Ebbene 6.859 clienti usavano proprio quella password, e nel loro caso gli hacker sono quindi riusciti a individuare il login completo. Lo si legge sempre nel documento del Garante:

Per i 6.859 clienti, che avevano una password “debole” utilizzata dagli attaccanti ([…]), è stata individuata anche la password”

Nella nota di Unicredit del 16 novembre inviata al Garante per la privacy la banca assicura che è stato “implementato un blocco quantitativo delle connessioni che oltrepassino una soglia critica per intervallo temporale definito ed un meccanismo informatico (captcha) finalizzato all’identificazione umana dell’utente che esegue la richiesta di Login, con lo scopo di bloccare connessioni automatiche o script informatici“.

Meglio tardi che mai.

Intanto io oggi ho provato a “sbagliare” il mio login Unicredit. Dopo soli due tentativi errati il sistema mi ha bloccato l’accesso, richiedendo vari dati di registrazione (email, cellulare, ecc) e una OTP dal token fisico, per poi resettare il PIN inviandolo al numero di cellulare. Dopodiché mi sono loggato col PIN provvisorio e ho inserito un nuovo PIN.

Il fatto che il nuovo PIN fosse identico a quello vecchio non ha generato il minimo allarme.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.