Circa 150 hacker di tutto il mondo hanno avuto 24 ore di tempo per hackerare i 300 webservice della Posta ed entrare nei suoi sistemi. È quanto è accaduto alla Conferenza internazionale degli hacker del 25 e 26 giugno a Parigi, con la Posta a ricoprire il ruolo del bersaglio. Per la prima volta, l’azienda ha messo a disposizione tutti i suoi servizi internet in vista di un attacco. L’obiettivo del gigante giallo era trovare ed eliminare le falle nella sicurezza, quello dei ‘pirati informatici etici’ di individuare le vulnerabilità e intascare i soldi.

I dati
In 24 ore gli hacker hanno trovato 22 vulnerabilità. La maggior parte era di livello basso o medio; una era seria e un’altra critica. “Me ne aspettavo molte di più”, commenta Marcel Zumbühl, Chief Information Security Officer. “Se si pensa che per 24 ore 150 dei migliori hacker del mondo hanno attaccato tutti i servizi internet della Posta, che sono circa 300, 22 vulnerabilità non sono poi così tante”. Oltretutto, i pirati informatici “hanno ammesso di aver trovato pane per i loro denti con la sicurezza. Alcuni sono stati addirittura frustrati di fronte all’incapacità di trovare altre lacune”.

I punti deboli
Il primo dei due punti deboli riguarda l’ufficio oggetti smarriti per i pacchi. Si tratta di un servizio online utilizzato, ad esempio, dal personale del servizio clienti per ritrovare i pacchi segnalati come persi. Nonostante si tratti di un servizio puramente interno del gigante giallo, gli hacker sono riusciti a entrare dall’esterno e a manipolare i dati. La seconda vulnerabilità “riguarda il nostro WebTransfer, una piattaforma con cui si possono mettere a disposizione grossi volumi di dati da scaricare, ad esempio immagini”, prosegue Zumbühl. Sono riusciti ad hackerarlo in modo che, ad esempio, “gli indirizzi e-mail del nostro personale potessero essere bombardati di e-mail di phishing”. Come per tutte le falle di sicurezza, anche queste due “ci assicuriamo di poterle eliminare subito oppure, finché non le abbiamo neutralizzate, evitiamo con una sorveglianza mirata che possano essere sfruttate”.

Gli ‘hacker etici’
In definitiva, secondo Zumbühl i webservice della Posta sono sicuri. “La sicurezza è un processo e noi investiamo enormemente in questo ambito. Proprio in questo senso cerchiamo costantemente vulnerabilità in modo mirato. Vogliamo trovarle ed eliminarle. Uno dei modi in cui lo facciamo è affidandoci agli hacker più esperti, così da migliorarci e aumentare la sicurezza”. Alla conferenza di Parigi hanno partecipato i cosiddetti ‘hacker etici’, vale a dire senza intenti criminali. Si tratta di esperte ed esperti specializzati in sicurezza informatica che, per conto di un committente e d’intesa con lui, tentano di hackerare i suoi prodotti e servizi in maniera mirata allo scopo di individuare le criticità. “Diversamente dai criminali, sono tutte persone registrate presso di noi e che conosciamo di persona”.

L’importo versato
La Posta ha versato 8'700 euro agli hacker di Parigi. Per le due vulnerabilità di natura seria e critica riscontrate, “li abbiamo pagati rispettivamente 1’500 e 3’000 euro”. Prima della conferenza “non ero nervoso, bensì fiducioso. Sul posto c’erano dieci specialiste e specialisti della sicurezza dell’azienda in costante dialogo con gli hacker etici. Ogni singola falla nella sicurezza individuata è già stata richiusa oppure viene monitorata nello specifico finché non riusciremo a eliminarla definitivamente. Così nessun criminale potrà più trovarla”, conclude Zumbühl.

© Ticinonews.ch - Riproduzione riservata