rischioblog

Italia: Licenziata, firma la vendetta con la password

2011-04-14T08:11:00.000+02:00

Ambito: servizi
Tipologia: violazione della sicurezza

Era stata licenziata, ma le sue credenziali non erano state ancora cancellata. La dipendente di un commercialista di Catania ha così ingenuamente pensato di usare il proprio nome e la propria password per vendicare lo sgarbo subito.
Maggiori informazioni su WebNews

Italia: arrestato ex-consulente dei pm di Bari per accesso informatico illecito

2011-04-13T08:56:00.000+02:00

Ambito: pubblica sicurezza
Tipologia: fuga di informazioni confidenziali

Quando una mancata applicazione delle più elementari norme di sicurezza può condurre a risvolti anche politici interessanti...

Secondo un articolo del Giornale, un ex-consulente informatico della procura di Bari, ora giornalista del Corriere della Sera, avrebbe avuto accessonell'agosto del 2009 ai sistemi doev erano conservate le informazioni dell'inchiesta condotta dal pm Pino Scelsi: utilizzando le password ancora in suo possesso da quando si era dimesso un anno e mezzo prima dalla società che gestiva la sicurezza della rete della procura barese, Andrea Morrone pare essere la talpa che in quell'anno fece uscire molti documenti riservati per poi passarli alla stampa.
Lo scopo sembra essere stato esclusivamente di tipo professionale: Morrone desiderava un'assunzione da parte del Corriere del Mezzogiorno, fatto che si è verificato nel febbraio del 2010.
Le indagini sono arrivate al nome di Morrone poiché i verbali pubblicati erano conservati nel pc del magistrato e, secondo i log, il 4 agosto qualcuno aveva consultato il contenuto di una cartella contenente i documenti degli interrogatori del caso Tarantini. Incrociando poi i tabulati delle telefonate e la posizione di Morrone individuabile dalle celle di copertura del suo telefono cellulare, gli inquirenti hanno capito che l'ex consulente aveva ancora accesso sia a una stanza del piano interrato dell'edificio della procura sia ai sistemi informativi ivi presenti.

Fonte: Il Giornale

Irlanda: assicurazione perde nastro con i dati di 50.000 clienti

2011-04-12T06:21:00.000+02:00

Ambito: assicurazioni
Tipologia: fuga di informazioni personali,

Phoenix Ireland, una compagnia assicurativa irlandese, ha ammesso di aver smarrito i dettagli personali di 50.000 clienti attuali e del passato, nonché di alcuni prospect che avevano avuto contatti con l'azienda.
Le informazioni, in formato non crittografato, erano conservate in un nastro che è andato smarrito e riguardavano nomi, indirizzi e dettagli dei conti correnti bancari.
Un portavoce della società ha affermato che "il rischio è da considerarsi ridotto in parte perché per un hacker è estremamente difficile distillare le informazioni dal nastro, che non contiene alcun riferimento esterno alla Phoenix." (Nota: la società sembra avere scarsa fiducia sulle potenzialità degli esperti informatici che spesso vengono qualificati col termine "hacker").
Il portavoce afferma anche che "la societànon é nemmeno convinta che il nastro sia stato effettivamente creato. Semplicemente esso non è giunto a destinazione all'ufficio che lo aspettava." (Nota: suggerisco di chiedere informazioni all'ufficio che lo doveva spedire, per avere maggiori ragguagli sulla sua esistenza).

Fonte: Irish Times

Regno Unito: poliziotto del Lancashire sospeso per violazione

2011-04-11T08:00:00.003+02:00

Ambito: pubblica sicurezza
Tipologia: fuga di informazioni personali

L'acccesso ai dati privati di colleghi, vicini di casa e membri della famiglia, pare essere diventata una pratica comune negli uffici della polizia del Lancashire: negli ultimi 3 anni si sono verificate 84 violazioni della privacy che hanno condotto a 13 licenziamenti, 7 dimissioni e a numerosi richiami ufficiali.
Le informazioni ottenute sono spesso state utilizzate per scopi personali o passate a esterni.

Un portavoce del Lancashire Constabulary, la prefettura locale, ha affermato che tutti gli accessi alle informazioni vengono sottoposti a un audit per verificare che siano stati effettuati per scopi di polizia e che le informazioni vengano utilizzate in modo adeguato e per l'applicazione della legge.

Fonte: BigBrotherWatch via Office of Inadequate Security

Regno Unito: divulgati erroneamente dati lasciati incustoditi

2011-04-06T08:33:00.000+02:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

L'Information Commissioner’s Office (ICO), l'ente britannico che sorveglia l'implementazione del Data Protection Act, ha sanzionato la città di York a causa della scarsa qualità dei controlli e della mancanza di supervisione da parte del management.
La causa scatenante della sanzione è stato l'invio a un entità esterna, da parte di un dipendente, di alcuni documenti contenenti dati personali trovati su una fotocopiatrice.
Secondo una dei dirigenti dell'ICO, Sally-Anne Poole, questo caso denota la necessità, da parte dei dipendenti, di assumersi la responsabilità e la proprietà delle attività da loro svolte inerenti il trattamento di dati personali: se infatti il documento non fosse stato lasciato sulla fotocopiatrice e fosse stato controllato accuratamente prima di essere inviato, non si sarebbe creata alcuna violazione.

Fonte: ITPRO

Italia: quando le referenze del candidato evitano i controlli pre-assunzione

2011-03-31T09:06:00.001+02:00

Ambito: intrattenimento
Tipologia: frode aziendale

Come ben sappiamo, i controlli preventivi da effettuare prima di assumere un candidato hanno lo scopo di individuare eventuali criticità che potrebbero mettere a rischio l'azienda una volta assunta la persona scelta.
Che si svolgano mediante l'esame del casellario giudiziale o con una telefonata alle referenze citate nel curriculum, sono una buona pratica per valutare il rischio associabile a ogni dipendente.
Ebbene, un giovane calabrese, studente a Pescara, ha pensato di ovviare a questo millantando (ebbene sì) nel suo curriculum un'affiliazione alla 'ndrangheta.
Purtroppo per lui l'imprenditore che doveva assumere l'ha denunciato.
Trovate i particolari su newnotizie.

Fonte: Fraudologia

USA: dati di carte di credito di membri IEEE potenzialmente compromessi

2011-03-31T08:06:00.000+02:00

Ambito: industria elettronica
Tipologia: fuga di informazioni personali,

L'IEEE, la più grande associazione di professionisti della tecnologia, ha comunicato che i dati personali e delle carte di credito di 800 dei suoi membri potrebbero essere stati compromessi da una fuga di informazioni.
Sebbene lo scopo e la sorgente dei dati siano ancora sconosciuti, IEEE ha allertato i membri coinvolti per evitare attacchi sofisticati basati sulla social engineering.
L'intrusione nel database dell'IEEE è stata individuata nel dicembre 2010: un'analisi forense successiva ha rivelato che un file contenente le informazioni sulle carte di credito di alcuni membri era stato cancellato il mese prima. Chi ha avuto accesso a quel file potrebbe aver sottratto i dati delle carte e altre informazioni sensibili.
IEEE non ha trovato evidenze che i dati delle carte di credito siano stati fatti uscire dai suoi sistemi, e quindi la notifica ai membri è da considerarsi una misura di precauzione.

Fonte: threat post

Australia: le agenzie governative mettono al bando la webmail

2011-03-30T09:41:00.001+02:00

Ambito: amministrazione pubblica
Tipologia: analisi e prevenzione

In un report sulla sicurezza delle informazioni delle agenzie governative australiane, l'Auditor-General Ian McPhee ha raccomandato che le agenzie non debbano permettere al personale di ricevere e inviare email sui sistemi aziendali utilizzando servizi di webmail, citando esplicitamente Hotmail e Gmail come esempi di tali piattaforme.
Secondo McPhee, "il problema con tali sistemi è che essi offrono un punto d'ingresso facilmente accessibile per attacchi esterni" e rendono soggetti i dipartimenti governativi a potenziali divulgazioni di informazioni intenzionali e non.
L'analisi condotta in diverse agenzie ha mostrato che gli account webmail sono utilizzati dallo staff regolarmente: dal solo dipartimento del Primo Ministro, gli hit ai siti delle webmail in due mesi sono stati più di un milione.
Laddove lo staff necessiti l'accesso alle webmail, viene suggerito l'utilizzo dell'approccio "internet cafe", dove delle postazioni stand-alone poste all'interno delle agenzie possono accedere a questi servizi online.
In risposta alle raccomandazioni dell'audit, il Gabinetto del Primo Ministro chiuderà l'accesso a ogni webmail entro il 1 luglio 2011, sebbene abbia affermato che gli opportuni controlli siano già stati da tempo implementati.

Fonte: zdnet.au via SANS Newsbytes

Francia: le assicurazione Verspieren corregono una falla

2011-03-28T08:30:00.000+02:00

Ambito: assicurazioni
Tipologia: fuga di informazioni personali
Tipologia: violazione della sicurezza

Alcuni mesi fa è stata scoperta una vulnerabilità nel servizio online delle assicurazioni Verspieren: una volta che un utente si era collegato con i suoi dati di accesso, poteva visualizzare i dettagli di altri clienti della compagnia di assicurazione.
La potenziale fuga di dati, presente nello spazio Verspieren Benefits, permetteva a chiunque si fosse autenticato di modificare l'URL visualizzato per inserire un altro numero di polizza (ad es. siteweb.com/clients/123 par siteweb.com/clients/124), e visualizzare così i dati di altre persone.
L'accesso a tali dati non era comunque possibile senza prima essersi autenticati con il propcio Customer ID e la relativa password.
La vulnerabilità, scoperta da ZATAZ.COM è stata immeditamente segnalata alla società che però non vi ha posto rimedio. Dopo alcuni mesi e successivamente alla pubblicazione sui media, la Verspieren ha immediatamente corretto la falla affermando che il "problema non era stato risolto in precedenza poiché l'avviso di ZATAZ era stato considerato un messaggio spam per cui non era stato preso in esame."
Altre 12 assicurazioni francesi si sono rivolte al sito di segnalazioni di sicurezza per assicurarsi di non essere vittima del medesimo problema.

Fonte: ZATAZ

Regno Unito: dati confidenziali inviati per errore via email

2011-03-24T14:30:00.000+01:00

La sede della Spectrum Housing
a Christchurch - Dorset

Ambito: industria
Tipologia: fuga di informazioni personali

I dettagli personali di 200 dipendenti del gruppo di edilizia abitativa Spectrum Housing sono stati erroneamente inviati per email al destinatario sbagliato.
I dati, contenuti in un foglio elettronico, comprendevano vari dettagli sulle identità dei dipendenti, ovvero nomi, date di nascita, numero della National Insurance e sono stati inviati da un dipendente che ha selezionato il destinatario sbagliato della email.
Fortunatamente il foglio elettronico non conteneva nessun dato sui salari o sui conti in banca.
Anne Wildeman, il direttore del personale della Spectrum, ha classificato l'incidente come un errore umano, che è stato immediatamente portato all'attenzione degli opportuni organismi aziendali: il destinatario errato è stato subito contattato e ha assicurato di non avere alcuna intenzione di inoltrare i dati ad altre entità, cancellando il file dal suo computer.
La Wildeman si è detta soddisfatta del trattamento dell'incidente, ma in ogni caso verrà rivisto il piano di formazione interna sulla sensibilizzazione alle tematiche di sicurezza e verrà effettuata un'analisi per considerare eventuali miglioramenti ali sistemi IT di controllo.

Fonte: Bournemouth Echo via Office of Inadequate Security

Italia: bancario condannato per appropriazione indebita

2011-03-22T11:18:00.000+01:00

Ambito: finanza
Tipologia: frode aziendale

Un bancario di Porto Empedocle, Fabrizio Cimino di 32 anni, è stato condannato a 1 anno di reclusione per aver sottratto 38.000 euro all'agenzie di Banca Nuova di Canicattì, presso cui era impiegato nell'estate del 2008.

Fonte: Corriere di Sciacca

USA: dipendente di Wachovia Bank condannata per furto di identità

2011-03-21T12:00:00.000+01:00

Ambito: finanza
Tipologia: fuga di informazioni personali

Marisol Morales, una ex-dipendente di Wachovia Bank, è stata condannata a due anni e un giorno di prigione per frode bancaria e furto di identità aggravato: la donna è stata riconosciuta colpevole di aver fatto parte di un piano per defraudare il suo datore di lavoro di 367.000 dollari.
Dal luglio 2006 al gennaio 2007, mentre era impiegata come addetta al servizio clienti della banca, la donna ha venduto informazioni confidenziali di conti correnti e specimen di firma a una persona esterna, permettendo che venissero emessi e ritirati assegni falsi.
L'ammontare totale degli assegni emessi era di $ 532.279,11, ma non tutti sono stati incassati, portando l'ammanco di Wachovia Bank a 367.003,43 dollari.

Fonte: Office of Inadequate Security

USA: fuga di informazioni coinvolge Bank of America

2011-03-18T08:14:00.000+01:00

Ambito: finanza
Ambito: assicurazioni
Tipologia: fuga di informazioni confidenziali

Mentre è ancora viva la minaccia di WikiLeaks di divulgare informazioni su una non ancora ben identificata banca statunitense (che pare comunque trattarsi di Bank of America), un'altra fuga di dati confidenziali colpisce l'istituto finanziario di Charlotte, in North Carolina.
Il gruppo Anonymous ha infatti divulgato una serie di e-mail scambiate da dipendenti di Balboa Insurance, una divisione di BofA recentemente venduta al gruppo australiano QBE Insurance Group Ltd.

Le mail riguardano una procedura dell'azienda di assicurazioni relativa all'emissione di polizze aggiuntive richieste da aziende che erogano mutui.
I membri di Anonymous affermano che le email costituiscono prove della frode che la banca ha commesso nascondendo degli errori agli auditor federali: le email sottratte, datate novembre 2010, mostrano un errore riguardante alcune abitazioni che richiedevano un'assicurazione contro le inondazioni ma che si trovavano in una zona ad alto rischio di inondazioni.
La persona che ha consegnato le email ad Anonymous è Brian Penny, un ex-dipendente della Balboa.
Circa 80 documenti sull'assicurazione contro le inondazioni vennero contrassegnati oer essere rimossi da un sistema interno, a causa dell'errore. Penny afferma che la banca voleva rimuovere i files in modo che gli auditor non notassero l'errore.
La banca non ha negato l'esistenza delle email, ma non ritiene di aver commesso nessuna infrazione, accusando però l'ex-dipendente di aver trafugato documenti confidenziali.

Fonte: The Wall Street Journal / The Huffington Post

Francia: potenziale fuga di dati da assicurazione

2011-03-17T08:06:00.002+01:00

Tipologia: fuga di informazioni sensibili
Ambito: assicurazioni

Un'importante società di assicurazioni francese sta permettendo da alcuni mesi di accedere liberamente a dati sensibili di alcuni suoi clienti.
L'esposizione dei dati, individuata e comunicata alla società da Zataz già nel dicembre dello scorso anno, permette di visualizzare le informazioni di 10.774 francesi espatriati che hanno sottoscritto una o più polizze con l'azienda di assicurazioni. Tra i dati disponibili: nomi, cognomi, date di nascita, numero di sicurezza sociale, numero di contratto, situazione famigliare, numero di figli, indirizzo all'estero e in Francia, coordinate bancarie.
La figura seguente mostra la situazione di un assicurato disponibile online:

Sembra che sia inoltre possibile apportare modifiche al conto corrente dei clienti e ai dettagli di come e dove effettuare i rimborsi.

Zataz, una volta individuata la falla di sicurezza, ha, come al solito, avvisato la società che però, a tutt'oggi, non ha implementato alcuna protezione ulteriore dei propri dati e delle proprie applicazioni.

E' scattata quindi la seconda fase, in cui viene divulgata la notizia della vulnerabilità, senza comunque comunicare il nome dell'azienda.

Fonte: Zataz

USA: 12 persone incriminate di cospirazione per frode bancaria

2011-03-14T07:54:00.001+01:00

Ambito: finanza
Tipologia: frode aziendale
Tipologia: fuga di informazioni sensibili

Una rete criminale costituita da 12 persone, tra cui alcuni impiegati bancari, e che si era resa responsabile di frodi per un ammontare complessivo di 10 milioni di dollari è stata smascherata dalla Financial Crimes Task Force, un gruppo formato da investigatori locali, statali e federali che ha lo scopo di combattere i crimini finanziari inter-giurisdizionali.
La rete di persone localizzate in Minnesota, California e New York operava sottraendo e rivendendo informazioni sull'identità di cittadini americani, informazioni che venivani poi utilizzate da altre persone della rete criminale per aprire conti correnti e richiedere carte di credito e prestiti.
Gli istituti finanziari coinvolti nella frode sono: American Express, Associated Bank, Bank of America, Capital One, Guaranty Bank, JP Morgan Chase Bank, TCF Bank, US Bank, Wachovia Bank, Washington Mutual, and Wells Fargo Bank.
L'accusa afferma che dal 2006 al marzo 2011 gli indiziati hanno operato all'interno di una rete con l'obiettivo di ottenere denaro in modo fraudolento utilizzando dati identificativi rubati: con queste informazioni sono stati aperti conti bancari, sono state sottoscritte carte di credito e richiesti dei prestiti. Gli accusati hanno inoltre falsificato assegni, prelevato denaro attraverso le carte di credito aperte con false generalità, e trasferito sui loro conti linee di credito appartenenti ad altri.
Tra gli altri capi di accusa appare anche il reclutamento di altri impiegati bancari con lo scopo di ottenere informazioni su clienti ed eseguire transazioni fraudolente.

Le frodi sono state condotte in vari stati, tra cui Minnesota, California, Massachusetts, Arizona, New York e Texas e hanno permesso di ottenere più di 10 milioni di dollari.

Le frodi principali che hanno visto convolte le 12 persone comprendono:

tra marzo 2006 e dicembre 2010, Okeayainneh si è impossessato e ha ceduto oltre 7000 documenti identificativi, numeri di conto corrente e altre informazioni ad altre persone della rete;
dal luglio 2006 ad aprile 2010, Roberts, un personal banker, si è impadronito e ha rivenduto dati dei clienti e ha coinvolto altri a partecipare alle frodi;
nel 2006, Earley ed altri hanno utilizzato i dati di identità rubati;
dal 2006 al 2010, Coker ha reclutato persone per assumere l'identità di altri per aprire conti bancari ottenendo così più di 200.000 dollari;
dal 2009 al 2011, Osei-Tutu, un impiegato bancario che operava come insider per la rete, ha aperto conti per i complici con dati falsi;
dal 2009 al 2011, Farah, un direttore di banca, ha operato come insider per la rete, aprendo conti fraudolenti e prelevando denaro mediante assegni;
per tutto il 2009, Adejumo e Adeniranhanno prelevato denaro fraudolentemente per più di 300.000 dollari.

Se le accuse venissero confermate, gli accusati potrebbero essere condannati a pene detentive che possono arrivare a 30 anni.

* La Financial Fraud Enforcement Task Force è composta da personale delle seguenti organizzazioni: U.S. Postal Inspection Service, U.S. Immigration and Customs Enforcement’s Homeland Investigations, Internal Revenue Service-Criminal Investigations Division, U.S. Secret Service, Social Security Administration, Edina Police Department, Wright County Sheriff’s Office, Minneapolis Police Department, Minnesota Bureau of Criminal Apprehension.

Fonte: Office of Inadequate Security

Francia: lo spionaggio industriale alla Renault forse non è spionaggio

2011-03-12T15:29:00.000+01:00

Ambito: industria automobilistica
Tipologia: spionaggio industriale

E' quanto emerge da recenti indagini condotte dal servizio segreto francese.
Maggiori informazioni sul sito del Sole 24 ore

Usa: dati sottratti alla più grande banca di cellule staminali del mondo

2011-03-08T08:15:00.002+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni sensibili

Un computer e alcuni nastri di backup della Cord Blood Registry sono stati trafugari dall'automobile di un dipendente dell'azienda. La Cord Blood Registry (www.cordblood.com) è la più grande banca di cellule staminali al mondo, che conserva le cellule staminali provenienti dal cordone ombelicale di circa 350.000 persone.
Nei nastri trafugati erano presenti i dati dei clienti e dei famigliari, contenenti informazioni sensibili tra cui nomi, Social Security number, patenti, numeri di carta di credito.
Nella lettera inviata ai clienti coinvolti CBR ha affermato di aver assoldato esperti si sicurezza per condurre investigazioni sull'incidente che hanno determinato che non esistono indicazioni che, a tutt'oggi, siano state ancora utilizzate le informazioni presenti sul materiale trafugato.
Secondo il rapporto della polizia, il dipendente ha lasciato la sua auto incustodita per 15 minuti nel parcheggio di un grande data center a San Francisco. Il computer e i nastri erano all'interno del bagagliaio.

Nota: anche questo è un caso da manuale che illustra l'incuria con cui vengono talvolta gestiti dati sensibili di clienti o pazienti. La Cord Blood Registry non afferma in nessun luogo, nella sua comunicazioni ai clienti, che i dati dei clienti erano protetti con la crittografia (incuria dell'azienda 1: non proteggere i dati in movimento).
Possiamo supporre che il motivo per cui il computer e i nastri fossero all'interno dell'automobile di un dipendente era dovuto alla necessità del trasferimento di tali nastri presso un centro di archiviazione esterno. Quindi, a meno che la macchina non sia stata aperta in corsa da un ladro, perchè il dipendente non si è recato direttamente presso tale centro? (incuria dell'azienda 2, che non ha effettuato un adeguato training del dipendente e incuria del dipendente che ha lasciato dati sensibili in automobile).

Fonte: ScamSafe

Germania/Francia: dati di Dassault trovati sulla rete Siemens

2011-03-07T08:27:00.001+01:00

Tipologia: fuga di informazioni confidenziali
Ambito: industria informatica

I dati di 3216 clienti della Dassault in Germania, Austria e Svizzera sono apparsi sulla rete interna della Siemens Product Lifecycle Management Software GmbH, azienda del gruppo tedesco Siemens.
Responsabili di Siemens hanno affermato che hanno già avuto contatti con Dassault e che è stata avviata un'investigazione interna per chiarire le responsabilità. Sebbene ancora le modalità non siano state chiarite, alcune voci affermano che sia stato un ex-dipendente di Dassault, ora in Siemens, a portare il materiale con sè.
In ogni caso, i dati sono stati restituiti a Dassault e cancellati dai sistemi della Siemens.
L'azienda francese ha asserito che i dati dei suoi clienti avrebbero costituito una minaccia marginale: la lealtà dei clienti di software per la gestione del ciclo di vita dei prodotti è molto alta. Utilizzare i dati per danneggiare un concorrente si sarebbe quindi rivelata una mossa controproducente.

La gestione del ciclo di vita dei prodotti è il processo che permette di avere costantemente sotto controllo i componenti di un prodotto, come ad esempio un'automobile, dalla sua progettazione, alla produzione, all'invio sul mercato e infine alla dismissione. Esistono alcune soluzioni software che
aiutano in questa attività, tra cui quelle di Siemens e Dassault.

Fonte: Handelsblatt

Svizzera: dipendente sottrae 22 milioni di franchi a Gategroup

2011-03-07T08:06:00.000+01:00

Tipologia: frode aziendale
Ambito: ristorazione

Gategroup, gruppo con sede a Kloten (ZH) attivo nel settore della ristorazione a bordo degli aerei, ha identificato il responsabile della frode di 22 milioni di franchi di cui ha fatto le spese. Si tratta del direttore della filiale Gate Gourmet per l'Europa settentrionale, che è stato licenziato, ha indicato ieri sera la società zurighese in un comunicato.
Gategroup precisa che, stando ad un'inchiesta interna, l'ex manager della sua filiale principale è l'unico responsabile della malversazione. L'ex quadro avrebbe metodicamente falsificato documenti e manipolato i conti per sfuggire ai controlli interni. L'impresa si è data come priorità il recupero dei soldi sottratti, in collaborazione con la persona incriminata, che ha promesso il proprio aiuto. Una parte della somma è già stata rimborsata: l'ammanco è di circa dieci milioni, aveva indicato Gategroup mercoledì. Gli atti illeciti sono stati compiuti sull'arco di tre anni; la parte più consistente della somma sottratta è però relativa al 2010.

Fonte: Corriere del Ticino

USA: mail sottratte a HBGary rivelano attacco a Morgan Stanley

2011-03-02T08:55:00.000+01:00

The Morgan Stanley Building.
(Wikipedia)

Ambito: finanza
Tipologia: fuga di informazioni confidenziali

Non si è ancora sopito l'affaire che ha coinvolto l'azienda di sicurezza HBGary che si è vista trafugare le proprie email dal gruppo di hacker Anonymous che le ha poi divulgate ai media.
Da alcune di queste email, appare che la rete di Morgan Stanley, una delle maggiori banche d'investimento a livello mondiale, sia stata una delle vittime degli hacker cinesi che hanno lanciato l'operazione Aurora nella seconda metà del 2009.
Morgan Stanley, al momento, è l'unica azienda finanziaria che si sappia essere stata vittima dell'operazione di hacking: gli hacker impiantarono software per sottrarre file confidenziali e comunicazioni interne, secondo le email di HBGary.

Fonte: Bloomberg / Finextra

Svizzera: Furto di dati presso HSBC: conclusa l'inchiesta della FINMA

2011-03-01T08:54:00.002+01:00

Ambito: finanza
Tipologia: fuga di informazioni confidenziali

A seguito di un'ampia inchiesta riguardo a un considerevole furto di dati presso HSBC Private Bank (Suisse) SA, la FINMA ha riscontrato delle lacune nell'organizzazione interna e nel con-trollo delle attività informatiche della banca. La FINMA ha inoltre invitato la banca a portare a termine le misure avviate tese a ripristinare la regolarità della situazione. La FINMA assisterà HSBC nella puntuale conclusione di queste misure.

A marzo 2010 l'Autorità federale di vigilanza sui mercati finanziari FINMA ha avviato un procedimento amministrativo formale a carico di HSBC Private Bank (Suisse) SA a Ginevra. A determinare l'avvio dell'indagine è stato il furto di una considerevole quantità di dati di clienti avvenuto presso la banca presumibilmente tra il 2006 e il 2007. Oggetto di indagine sono state l'organizzazione informatica vigente in quel periodo e le misure organizzative e tecniche adottate da allora da HSBC per ottemperare ai requisiti di legge.

La FINMA ha concluso l'indagine con un ammonimento nei confronti dell'istituto. Essa ha rilevato delle lacune nell'organizzazione interna e nel controllo delle attività informatiche della banca, che hanno comportato una grave violazione dei requisiti di autorizzazione da parte dell'istituto. La FINMA ha invitato HSBC a seguire la linea intrapresa finora e a portare avanti con coerenza le misure finalizzate al ripristino della necessaria sicurezza informatica. La FINMA assisterà HSBC nella puntuale conclusione di queste misure.

Fonte: FINMA

Italia: economa di Vanzaghello sottraeva soldi al comune

2011-02-28T10:08:00.000+01:00

Ambito: amministrazione pubblica
Tipologia: frode aziendale

L'economa del comune di Vanzaghello è stata accusata di aver sottratto circa 180 mila euro a più riprese dalle casse del comune. La donna, smascherata dalle indagini della Guardia di Finanza, è stata denunciata a piede libero per «falso in atto pubblico e peculato», accusa che può comportare da due a otto anni di reclusione.
L'impiegata del comune è stata ora sospesa dal servizio. La Corte dei Conti interverrà probabilmente per richiedele i danni dopo aver considerato il danno erariale.
Gli ammanchi dalle casse comunali si stavano verificando dal 2003, ma solo negli ultimi anni la cifra aveva raggiunto dimensioni tali da richiedere una decisa presa di posizione da parte dell'Amministrazione Comunale che, nello scorso novembre, aveva presentato denuncia contro ignoti.
Il sistema. I controlli effettuati durante le indagini delle Fiamme Gialle hanno mostrato che il metodo dell'impiegata era molto semplice: attraverso falsi mandati di pagamento, la donna si recava in banca per ritirare del denaro contante che poi teneva per sè. Dopo i primi anni, in cui i prelievi saltuari riguardavano cifre modiche, negli ultimi anni gli ammanchi erano sempre più consistenti e frequenti, fattore che ha fatto scatenare la denuncia.

Fonte: Il Giorno

USA: sanzione di 1M di $ per fuga di informazioni sanitarie

2011-02-25T08:59:00.000+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni sensibili

Il Massachusetts General Hospital pagherà al governo federale un milione di dollari di sanzioni per un incidente in un un dipendente smarrì dati sanitari di pazienti nella metropolitana.
L'ospedale ha inoltre stabilito che svilupperà una nuova policy sulla privacy per prevenire che le informazioni dei pazienti possano essere compromesse in futuro: nelle nuove direttive è previsto un rapporto semestrale di compliance al Dipartimento federale della Salute per i prossimi 3 anni.

La vicenda risale al 2009, quando un paziente inviò un reclamo a causa della perdita delle sue informazioni sanitarie; l'investigazione federale che fu aperta subito dopo permise di individuare che erano coinvolte nella fuga dai dati le informazioni di 192 persone e che le informazioni erano in possesso di un dipendente che le ha smarrite durante uno spostamento in metropolitana.

Fonte: Boston Business Journal da Office of Inadequate Security

Francia: possibile fuga di dati da un sito dell'UMP, il partito di Sarkozy

2011-02-25T08:20:00.002+01:00

Ambito: politica
Tipologia: fuga di informazioni sensibili

Uno dei siti dell'UMP, il partito del presidente francese Sarkozy, sta lasciando da mesi al libero accesso dei navigatori, una lista di sostenitori del partito: la lista, contenente nomi e cognomi, numero di telefono, carte di identità, indirizzi, email degli appartenenti alla sezione di Vienne del partito, é liberamente accessibile da 8 mesi in un file excel online.

Gli amministratori del sito, contattati più volte nel corso degli ultimi mesi dal servizio francese Zataz, attraverso il suo protocollo di allerta, non hanno risposto, per cui la notizia è stata divulgata.
Ecco, nell'immagine, il contenuto del file excel disponibile:

In Francia, la Legge Informatica e Libertà ( loi informatique et liberté - CNIL)punisce questo tipo di fughe di informazioni con sanzioni che possono arrivare fino a 5 anni di carcere e 300.000 € di ammenda, mentre la divulgazione per imprudenza e negligenza prevede una pena massima di 3 anni di carcere e 100.000 € di ammenda.

Nel 2010, Zataz ha aiutato, grazie al suo protocollo di allerta, 1589 aziende, associazioni e individui e nel solo mese di gennaio 2011, sono già state inviate 203 segnalazioni ad altrettante entità che stavano divulgando sui propri siti Internet dati confidenziali.

Cina: dimissioni del CEO di Alibaba causate da troppe frodi

2011-02-24T11:03:00.000+01:00

Ambito: commercio
Tipologia: frode aziendale

David Wei , l'amministratore delegato del portale di Alibaba.com, il più grande servizio di e-commerce cinese che mette a contatto i produttori con i consumatori, ha rassegnato le sue dimissioni in seguito allo scandalo che ha investito l'azienda cinese: un'investigazione interna ha infatti mostrato che alcuni dipendenti hanno permesso che più di 2300 gestori di negozi online ospitati dal portale portassero a compimento azioni fraudolente.
Oltre al CEO, anche il Chief Operating Officer Elvis Lee ha lasciato l'azienda cinese: sebbene nessuno dei due avesse avuto responsabilità dirette nelle frodi, entrambi hanno ritenuto che la cultura dell'integrità aziendale fosse stata compromessa da quello che era diventato un vero e proprio problema sistemico.
Per attivare contromisure contro l'escalation di truffe, Alibaba ha impiegato 9 mesi dal momento in cui è stato individuato un serio incremento nei reclami per frodi: tutti i 2300 negozi online coinvolti in frodi sono stati chiusi.
Lo schema di frode era modellato sulle possibilità offerte dalla piattaforma di e-commerce: il venditore offriva oggetti di elettronica di fascia alta a prezzi molto interessanti, con una quantità d'ordine minima e metodi di pagamento poco affidabili.
Circa 100 dipendenti del personale di vendita, supervisori e manager sono stati individuati come corresponsabili delle frodi, sia intenzionalmente sia per negligenza, per aver permesso ai venditori di oltrepassare agevolmente i sistemi di autenticazione e verifica

Fonte: The Guardian

Canada: dipendenti federali inviano informazioni sensibili via BlackBerry

2011-02-21T08:26:00.000+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni confidenziali,

I dipendenti dell'amministrazione federale canadese trasmettono informazioni senbili con i loro BlackBerry nonostante tale pratica sia stata più volte scoraggiata.
La stampa canadese ha ottenuto versioni censurate di messaggi dalla rete Blackberry che mostrano che i dipendenti dei vari dipartimenti scambiano informazioni confidenziali di tipo economico, di sicurezza e operativo.
Anche i sottosegretari dei ministeri dei trasporti, degli ex-combattenti e dei lavori pubblici hanno discusso su questioni confidenziali la cui trattazione dovrebbe essere protetta.
Il commissario della privacy e il Centre for Security Establishment Canada (CSEC) - l'agenzia federale responsabile della sicurezza delle informazioni - hanno esplicitamente stabilito che il servizio di posta elettronica non deve essere utilizzato per scambiare informazioni sensibili.
La sicurezza delle informazioni è un tema piuttosto caldo in Canada in questo periodo: la scorsa settimana due attacchi hacker hanno dimostrato la vulnerabilità delle reti di due dipartimenti. L'obiettivo degli attacchi non è stato definito, ma l'accesso a Internet del consiglio del Tesoro e del ministero delle finanze è stato bloccato.

Nota: non sempre funziona il paradigma della sicurezza basata unicamente sul messaggio. Non funziona nel mondo delle informazioni come neanche nel mondo reale. E' come avere una porta su cui viene affisso un cartello con la scritta "Vietato passare" e lasciare solo una maniglia che può essere aperta. Quando c'è in gioco il fattore umano, un semplice avvertimento non basta, perché l'uomo non educato adeguatamente sulla sicurezza cercherà sempre il modo più semplice di ottenere quel che vuole, ovvero, nel nostro caso, di scambiare informazioni con una controparte.
Esistono vari sistemi che permettono di codificare con la crittografia un messaggio da un Blackberry a un altro, o verso un destinatario di posta elettronica: penso a soluzioni di PGP, di Voltage Security, che grazie a un server localizzato di fianco al server di posta elettronica e a un programma client da installare sul Blackberry o sul PC, permettono di implementare un sistema sicuro di scambio mail che utilizza una comune Public Key Infrastructure (PKI).

Fonte: Le nouvelles - Sympatico.ca

USA: due aziende finanziarie sanzionate per scarsa protezione dei dati

2011-02-18T09:38:00.000+01:00

Ambito: finanza
Tipologia: analisi e prevenzione

La Financial Industry Regulatory Authority (FINRA), l'ente americano che ha il compito di emanare regole e sorvegliare l'operato delle aziende che trattano strumenti finanziari negli Stati Uniti, ha annunciato ieri di aver imposto sanzioni per un totale di 600.000 $ a due aziende facenti capo al gruppo Lincoln Financial Securities, che hanno fallito nel proteggere informazioni non pubbliche dei propri clienti. In aggiunta a questo, la LFS si è inoltre dimostrata negligente per non aver imposto, ai broker che lavoravano remotamente, di installare software di sicurezza sui propri PC.
Le regole della SEC e della FINRA richiedono che ogni broker o dealer adottino regole e procedure scritte riguardanti le misure adottate per salvaguardare la protezione dei dati dei clienti.
La FINRA ha accertato che sia la Lincoln Financial Securities sia la Lincoln Financial Advisors Corporation, rispettivamente per un periodo di tempo di 7 e di due anni, permettevano a dipendenti attuali e precedenti di accedere ai dati dei clienti utilizzando qualsiasi browser e credenziali di autenticazione condivise.
Tra il 2002 e il 2009, tra le due aziende, più di un milione di account clienti vennero acceduti attraverso l'uso di utenti e password condivisi tra vari dipendenti. Dal momento che nessuna delle due aziende aveva policy e procedure per monitorare la distribuzione di utenti e password condivisi, non era possibile tracciare quanti e quali dipendenti potevano aver avuto accesso ai dati in questo periodo di tempo. Come risultato di questa mancanza di regole, i dati confidenziali dei clienti, che comprendono i nomi, gli indirizzi, i social security number, i numeri di conto, il saldo, le date di nascita, gli indirizzi email e i dettagli delle transazioni, sono stati messi in grave pericolo.
La FINRA ha anche scoperto che LFS e LFA non avevano procedure per disabilitare o modificare gli utenti e le password dei dipendenti che avevano cambiato lavoro.
Nella formulazione delle sanzioni, la FINRA ha tenuto conto degli sforzi condotti dalle aziende per notificare ai clienti, potenzialmente vittima di furto di dati, il rischio che potevano correre e per offrire loro un servizio di protezione del credito per un anno.

Source: FINRA

USA: le quotazioni di HBGary Federal in picchiata dopo l'affaire WikiLeaks-Anonymous

2011-02-17T08:21:00.032+01:00

Ambito: sicurezza
Tipologia: fuga di informazioni confidenziali

C'è chi raccomanda di non vendere la pelle dell'orso prima di averlo ucciso. C'è anche chi suggerisce di "Non dire quattro se non ce l'hai nel sacco". Dal momento che la nostra storia è ambientata negli Stati Uniti, da quelle parti si usa dire: "Don't halloo till you are out of the wood" (Non gridare "Ehilà!" finchè non sei fuori dal bosco).

Questa volta l'Halloo è stato urlato da Aaron Barr, CEO di HBGary Federal, società "specializzata" nella sicurezza la cui parabola, che aveva appena iniziato la sua ascesa, già sembra essere giunta a una decisa fase discensionale.
La scorsa settimana, il gruppo di hacker Anonymous aveva divulgato più di 40.000 email della società, seguite da altre 27.000 della sua sorella HBGary, in risposta alla dichiarazione di Barr, secondo cui i suoi esperti erano riusciti a penetrare il gruppo di hacker riuscendo a identificarne alcuni membri.
Successivamente a questo, molti dei partner e dei clienti avevano deciso di tagliare i ponti con l'azienda di sicurezza e ieri la stessa direzione ha cancellato la sua partecipazione alla RSA conference, uno dei più importanti eventi del "mercato" della sicurezza.
Per giustificare la cancellazione di tre interventi dei CEO delle due HBGary, le aziende hanno addotto motivi legati alle minacce violente di azioni nei loro confronti.
I messaggi divulgati da Anonymous ai media hanno permesso ad Ars Technica di dare un resoconto del comportamento ai limiti della legalità della HBGary: azioni borderline, come cyber-attacchi e campagne di disinformazione, email di phishing e profili falsi nei siti di social network, sono le tecniche utilizzate per supportare campagne di screditamento e di attacco, corroborate da pressioni su giornalisti e intimidazioni ai supporter dei nemici dei propri clienti, come ad esempio WikiLeaks (presunta nemica di Bank of America), o ancora sindacati e ONG che si oppongono alla Camera di Commercio degli Stati Uniti.

Proprio una settimana fa avevamo descritto i piani di HBGary e di altre due aziende, Palantir e Berico Technologies, per attaccare WikiLeaks allo scopo di colpirla prima che potesse pubblicare i supposti dati confidenziali di Bank of America.
Dalle email disponibili sul sito http://hbgary.anonleaks.ru/ (dall'indicativo titolo "HBGary Email Viewer: Portal" ;) scopriamo le tattiche sia sociali che tecniche utilizzabili per colpire il nemico: social engineering sui siti di social networking, spear phishing, per impiantare malware grazie a messaggi email sapientemente elaborati e altro ancora. (Il sito sopra menzionato costituisce un vero deposito di informazioni utili sia per chi volesse - ahimé- condurre un certo tipo di attacchi e sia, soprattutto, per chi desidera contrastarli.)
A tutt'oggi, le varie aziende coinvolte nella faccenda, Bank of America, la Chamber of Commerce, Palantir e Berico hanno o chiuso le proprie relazioni con HBGary o affermato di non averne mai avute.
Dal punto di vista della sicurezza, quello che è successo è una vera e propria debacle: non abbiamo notizia di come siano uscite tutte queste informazioni da HBGary: non sappiamo se sia opera di un attacco condotto unicamente dall'esterno o se ci sia stato lo zampino di un basista interno.
Di certo la delicatezza dei temi trattati via email da Barr e soci avrebbero richiesto una maggior oculatezza nei sistemi di protezione.
In più, per versare ulteriore benzina sul fuoco, pare che le azioni di social engineering di HBGary verso Anonymous abbiano dato sì dei risultati, ma assolutamente pilotati dal gruppo di hacker stesso: ovvero, i supposti membri del gruppo sono in realtà profili creati ad hoc per ingannare gli esperti di sicurezza americani.

Mentre stavo pensando a una buona conclusione dell'articolo ho pescato questo proverbio inglese che ben si addice all'affaire HBGary-Anonymous: "Actions speak louder than words" (Le azioni parlano più delle parole).

Fonti: Arc Technica / ZDNet / Forbes Blog by Andy Greenberg / TechEye

USA: Matt Miszewski e i dati confidenziali di Microsoft

2011-02-16T08:46:00.003+01:00

Ambito: industria informatica
Tipologia: fuga di informazioni confidenziali

Lo scorso 18 gennario, Salesforce.com, l'azienda che per prima ha fatto dei servizi basati su cloud computing un business, ha annunciato che Matt Miszewski sarebbe diventato un suo senior vice president, dedicandosi al settore della pubblica amministrazione.
Ma Matt Miszewski non è uno dei solito ex-dipendenti di un'azienda di tecnologia qualsiasi. Matt Miszewski è stato fino al mese scorso il General Manager del settore Worldwide Government di Microsoft, posizione che lo rende padrone di una conoscenza più che discreta del settore pubblico.
E, secondo Microsoft, prima di dare le dimissioni, l'ex dipendente scaricò, lo scorso dicembre, 25.000 pagine di documenti per un ammontare di circa 250 MB di dati confidenziali.
Ora, il gigante del software con sede a Redmond, teme che Miszewski possa condividere questi segreti con Salesforce.com e così decide di intentare una causa contro di lui per rottura del patto di non concorrenza, accordo che venne siglato al momento di entrare nella società e che lo costringe a non cercare un impiego presso un concorrente di Microsoft per almeno un anno di tempo dal momento delle sue dimissioni.
In una dichiarazione degli ultimi giorni, Microsoft afferma che il caso vede il coinvolgimento di un dipendente in possesso di conoscenze di clienti sensibili e di informazioni competitive che nella nuova azienda, definita "un concorrente diretto", andrebbe a svolgere un lavoro focalizzato sulle stesse soluzioni e gli stessi clienti.

Fonte: BusinessInsider / Seattle Weekly / All Things DIgital

USA: più di 6 milioni di americani hanno subito una violazione dei propri dati sanitari

2011-02-15T14:57:00.000+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: analisi e prevenzione

Secondo un recente report di Redspin, azienda californiana impegnata nell'ambito dei servizi di security assessment, più di 6 milioni di cittadini americani hanno subito una violazione della sicurezza dei propri dati sanitari dall'agosto 2009.
Il 61% delle violazioni è il risultato di azioni dolose.
Redspin ha analizzato 225 violazioni che hanno avuto luogo in 43 stati dell'unione e i cui effetti si sono ripercossi su più di 500 individui.
Le violazioni accadono principalmente in due modi: nel primo, l'informazione viene perduta o collocata in un luogo non adeguato, nel secondo modo, invece, l'informazione viene sottratta.
Queste informazioni sono fondamentali per una vasta varietà di attività illegali come il furto d'identità e le frodi sanitarie. Il costo totale delle violazioni di sicurezza in ambito sanitario è difficile da stimare, ma si parla di certo di parecchi milioni di dollari.
Secondo l'Identity Fraud Survey Report del 2011, più di 8 milioni di americani hanno subito un furto di identità, per un ammontare di danni di circa 500 milioni di dollari.
Per il 65% circa di tutti gli incidenti si è trattato del furto o dello smarrimento di un laptop o di altri device portatili: il rapporto ha scoperto che a questo tipo di incidenti corrisponde il più alto livello di danni collaterali che in media coinvolgono 66.000 individui.
In uno di questi incidenti, più di un milione di persone in Tennessee furono vittime di una violazione di sicurezza: alcuni dischi contenenti informazioni sensibili vennero trafugati dagli uffici della BlueCross BlueShield. L'incidente, nelle sole prime fasi di investigazione e controllo dei danni, è già costato più di 7 milioni di dollari alla società di assicurazioni.
Secondo gli autori del rapporto, il numero degli incidenti notificati è costante ogni mese.

Fonte: dotmed news

Germania: divulgazione di e-mail tradisce la vera anima del partito di destra NPD

2011-02-15T10:19:00.002+01:00

Tipologia: fuga di informazioni confidenziali
Ambito: politica

Migliaia di e-mail provenienti da membri del partito tedesco di estrema destra NPD sono state divulgate alla stampa: nei circa 60.000 messaggi traspare chiaramente l'ideologia neo-nazista e xenofobica che pervade il partito.
Uno degli esempi della presenza delle idee neonaziste viene rivelata nell'utilizzo, da parte dei membri, del codice "88", utilizzato come abbreviazione dello slogan "Heil Hitler" usato nell'era nazista: "H" é infatti l'ottava lettera dell'alfabeto e "88" significa "HH".
Non é ancora chiaro chi ci possa essere dietro alla divulgazione delle email.

Effetti: tra gli effetti di questa divulgazione la dimostrazione di lotte intestine al partito, seguenti all'integrazione con un altro movimento di simili ideologie, la DVU.
La forte aderenza alle ideologie neo-naziste tradisce inoltre i tentativi del partito di presentarsi come un gruppo politico più moderato ai cittadini tedeschi di destra insoddisfatti del governo conservatore dei Cristiano Democratici.
Vi sono anche risvolti legali che potrebbero avere serie conseguenze per il partito: alcuni messaggi della fine del 2010 e dell'inizio del 2011 evidenziano che la campagna elettorale nello stato della Sassonia-Anhalt è stata finanziata in parte con il denaro che l'NPD ha percepito dal vicino stato della Sassonia: in Germania il finanziamento dei partiti tra diversi stati è illegale.
E' certo che la nuova immagine più moderata che il partito si vuole dare verrà intaccata in modo consistente da questo eventi: sarà quindi difficile riuscire a superare lo sbarramento del 5% dei voti che ogni partito deve ottenere dall'elettorato per potersi presentare in parlamento. Attualmente il movimento non ha rappresentanze nel parlamento federale, ma solo alcuni seggi in due parlamenti locali.

Fonte: Der Spiegel/ Deutsche Welle

Regno Unito: consulente accusato di negligenza nella conservazione di documenti sensibili

2011-02-14T09:28:00.002+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni sensibili

La legge sulla protezione dei dati clinici nel Regno Unito è inesorabile: un consulente impiegato presso l'ospedale privato The King's Oak and Cavell Hospitals a Enfield verrà ascoltato dall'Health Professions Council che giudicherà la sua condotta in merito alla conservazione di documenti sensibili che sono poi finiti nei rifiuti.
Il fisioterapista Shaun Murphy è stato quindi accusato di aver conservato tre scatole di documenti clinici sotto la sua scrivania nel febbraio e marzo del 2009, quando era impiegato presso l'ospedale.
Il 5 marzo, Murphy scoprì che gli addetti alle pulizie avevano eliminato le scatole, ma nonostante ciò non comunicò ad alcuno l'accaduto.
Se le accuse a suo carico troveranno conferma, il fisioterapista potrebbe essere sospeso o addirittura radiato dall'albo.

Fonte: Enfield Independent via PHIprivacy

Germania: fuga di informazioni personali in Mind Factory

2011-02-14T08:13:00.000+01:00

Ambito: servizi online
Tipologia: fuga di informazioni personali

Il negozio online di Mind Factory è stato vittima di una fuga di informazioni dei suoi clienti: alcuni giorni fa, molti clienti hanno cominciato a esporre le loro lamentere a riguardo di una mail di spam nella quale venivano invitati personalmente ad iscriversi a siti di giochi online.
Stanno quindi crescendo le proteste dei clienti Mind Factory che si vedono vittime di una fuga di informazioni a scopo di marketing: all'interno del forum del sito dell'azienda di vendita si cercano spiegazioni sul supposto comportamento di Mind Factory.
Un portavoce della società ha spiegato che attualmente la fuga di dati è sotto esame da parte di un esperto di analisi forense.

Fonte: Nwz Online

USA: divulgato documento riguardante attacco a WikiLeaks

2011-02-10T12:55:00.001+01:00

Ambito: sicurezza
Tipologia: fuga di informazioni confidenziali

Nuovi aggiornamenti in fondo all'articolo

Un documento che illustra i piani di 3 aziende di data intelligence per attaccare WikiLeaks è stato divulgato ieri da WikiLeaks stessa.
Il documento è intitolato "The WikiLeaks Threat" (la minaccia WikiLeaks) ed è stato redatto da un gruppo di esperti di Palantir Technologies, HBGary Federal e Berico Technologie, aziende assunte da Bank of America, una delle prossime supposte vittime delle rivelazioni del sito di Julian Assange.

Oltre alla presentazione, sono state trafugate oltre 50.000 email e altri documenti di varia forma e natura che sono già stati sottoposti a un primo screening di The Tech Herald e che probabilmente vedranno la luce nei prossimi giorni.

Il documento di presentazione divulgato descrive WikiLeaks e il suo fondatore, Julian Assange, per poi illustrare i punti di forza e di debolezza dell'organizzazione.

Prosegue poi suggerendo alcune tattiche proattive potenziali, che possono essere messe in opera attraverso la collaborazione delle competenze variegate delle tre aziende di intelligence. Tra le varie attività troviamo:

creare attrito tra i gruppi di supporto di WikiLeaks. Fare disinformazione. Creare messaggi su azioni di sabotaggio o discreditare le organizzazioni coinvolte. Sottomettere falsi documenti e fare opera di richiamo sull'azione;
creare preoccupazione sulla sicurezza dell'infrastruttura. Creare notizie su possibili debolezze. Se il processo viene considerato non sicuro, sono fuori.
cyber-attacchi contro l'infrastruttura per recuperare dati su chi sottomette i documenti. Questo ucciderebbe il progetto. Dal momento che i server sono in Svezia e Francia, radunare un gruppo per avere accesso è più semplice;
campagna mediatica per sottolineare la natura radicale e spericolata delle attività di WikiLeaks. Sostenere la pressione. Non farà nulla per i fanatici, ma creerà preoccupazione e dubbi tra i moderati;
ricercare le fughe di informazioni. Utilizzare i social media per profilare e identificare comportamenti pericolosi dei dipendenti.

Fonte: Finextra / The Tech Herald
Ulteriori aggiornamenti al 14 febbraio: USA Today

USA: ospedale in Iowa licenzia 3 dipendenti per furto di dati sensibili

2011-02-10T09:44:00.000+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni sensibili

L'ospedale dell'università dell'Iowa ha licenziato 3 dipendenti e ne ha sospesi altri due a causa di un'attività di accesso illecito ai dati clinici di alcuni giocatori di football ospedalizzati.
L'ospedale ha lanciato un'investigazione nelle scorse settimane dopo aver individuato che i dati clinici di 13 giocatori di football con una rara malattia muscolare potevano essere stati acceduti illecitamente.
Tom Moore, portavoce dell'ospedale, ha affermato che le investigazioni hanno confermato che 5 dipendenti hanno avuto accesso ai dati, decidendo per il licenziamento di 3 di essi e per la sospensione per 5 giorni di altri 2.
La violazione del Health Insurance Portability and Accountability Act (HIPAA), la legge federale che norma la provacy delle informazioni cliniche, è stata riportata alle autorità federali che stabiliranno se comminare sanzioni aggiuntive contro i responsabili.
Gli accessi illeciti sono stati individuati durante un'analisi di routine svolta per accertare che sia mantenuta la confidenzialità sui dati dei pazienti. Secondo la legge, infatti, solo al personale medico coinvolto nella cura del paziente è consentito l'accesso ai dati clinici.

Fonte: Fox Sports

Svizzera: funzionario di Banca Sella Suisse arrestato per frode

2011-02-09T08:51:00.000+01:00

Ambito: finanza

Tipologia: frode aziendale

Un funzionario di Banca Sella Suisse, con sede a Lugano, é stato arrestato negli scorsi giorni con l'accusa di attività fraudolenta ai danni della banca.

Al centro delle indagini vi è una serie di illeciti che hanno condotto alla sottrazione di 900 mila € da parte di un cittadino italiano alla Banca Sella di Lugano, istituto finanziario presso cui l'uomo era stato impiegato fino al suo licenziamento, avvenuto poco prima del Natale scorso.

Sul suo capo pendono le accuse di truffa, appropriazione indebita e falsità in documenti.

Spetterà ora al giudice dei provvedimenti coercitivi convalidare la misura restrittiva della libertà nei suoi confronti. Il bancario, sentito a lungo dagli inquirenti, ha già fornito una serie di prime ammissioni di responsabilità sui fatti a lui contestati.

Le malversazioni, emerse nel corso di una verifica contabile interna condotta dalla stessa banca, sono state commesse tra il 2006 e il 2009: il denaro sottratto ai clienti è stato loro rifuso completament: «Come è nello spirito e nei valori del Gruppo - si afferma nel comunicato stampa di Banca Sella Suisse - la Banca ha tenuto indenni i clienti coinvolti. I corrispondenti importi emersi dai controlli e dalle verifiche effettuate sono stati già addebitati al risultato economico 2010 che risulta ampiamente positivo pur considerato l'evento in questione».

L'inchiesta proseguirà cercando di ricostruire le operazioni compiute dall'ex dipendente per stabilirne l'esatta portata, cercando al contempo di recuperare la somma indebitamente sottratta.

Fonte: Corriere del Ticino

Islanda: spionaggio al Parlamento?

2011-02-08T07:46:00.000+01:00

Tipologia: violazione della sicurezza
Ambito: amministrazione pubblica

Nel febbraio del 2010 venne ritrovato un computer all’interno del parlamento di islandese, l’Althingi, a Reykjavík: a trovarlo fu un dipendente del parlamento islandese che avvisò subito la polizia. Il computer si trovava in una stanza vuota del palazzo.
Risalire al proprietario fu un'operazione impossibile anche perché il contenuto del disco interno era stato cancellato.
Il capo della sicurezza dell’Althingi, Helgi Bernódusson, ha dichiarato di ritenere che il computer facesse parte di una missione di spionaggio. Il sospetto è che sia stato piazzato all’interno del Parlamento per accedere ai computer dei deputati e al sistema informatico dell’Althingi, con l’obiettivo di scaricare dati e informazioni.
Non si hanno notizie di chi possa esserci dietro all'episodio, ma si suppone che le attivit° ad esso correlate non fossero del tutto lecite in quanto, non appena il computer é stato disconnesso, un programma ha provveduto a cancellare tutti i file contenuti nell’hard disk.
Si parla anche di sospetti verso WikiLeaks, ma ci troviamo qui nel regno delle ipotesi.
Una prima conseguenza positiva di questo episodio è stato il programma di miglioramento della sicurezza del parlamento islandese.

Fonte: Diretta News via Intercettazioni

Regno Unito: violata la sicurezza del London Stock Exchange

2011-02-07T08:33:00.002+01:00

L'ingresso del London Stock Exchange
(fonte: Wikipedia)

Ambito: finanza
Tipologia: violazione della sicurezza

Il Times ha riportato che il London Stock Exchange (LSE) e una delle sue controparti negli Stati Uniti stanno conducendo investigazioni su un attacco che ebbe luogo lo scorso anno e che aveva l'intento di interrompere le attività dei mercati.
L'attacco ebbe luogo lo scorso 24 agosto, momento in cui i prezzi delle azioni di 5 grandi società ebbero un tracollo anomalo: le azioni della BT, ad esempio, persero l'equivalente di 968 milioni di sterline e il LSE fu costretto a bloccare le contrattazioni per tutta la giornata.
La direzione del LSE addebitò il problema a prezzi inseriti in modo non corretto su un gran numero di ordini di borsa.
Lo scorso novembre le contrattazioni furono sospese ancora una volta a causa di quelle che vennero definite "circostanze sospette".
Al momento le spiegazioni ufficiali sono di errore umano.

Nota: curiosamente, la maggior parte delle notizie pubblicate su giornali e siti specializzati, che citano la news dell'autorevole The Times, titolano di un incidente verificatosi sulla piattaforma di trading open source dell'LSE. Ebbene, è da notare che attualmente, e fino al 14 febbraio prossimo, la contrattazione delle azioni del London Stock Exchange viene ospitata dalla piattaforma Tradelect sviluppata su tecnologia .NET. La migrazione al nuovo sistema Millenium Exchange, sviluppato dall'omonima azienda dello Sri-Lanka acquisita dallo stesso LSE in linguaggio C++ e ospitato da sistemi Linux, é pianificato per la prossima settimana.

Fonte: On Wall Street / The Times

Italia: rubati i palinsesti RAI

2011-02-02T08:15:00.004+01:00

Ambito: intrattenimento
Tipologia: fuga di informazioni confidenziali

''Un fatto senza precedenti. Sono dati sensibili per l'azienda. E' un episodio gravissimo, ma soprattutto inspiegabile. L'unica consolazione e' che le bozze di palinsesto sono in continuo divenire e gia' le copie rubate avevano subito modifiche dopo la versioen stampata e sottratta". Cosi' Angelo Teodoli, direttore dei palinsesti Rai commenta all'ADNKRONOS la notizia del furto - anticipato oggi dal 'Corriere della sera' - di tre delle quattro uniche copie esistenti della programmazione Rai relativa alla programmazione del periodo di garanzia pubblicitaria autunnale. Palinsesti che dovrebbero essere discussi e approvati nella seduta del Cda Rai fissata per giovedi' prossimo.
Teodoli spiega di aver sporto denuncia di furto "nel commissariato di polizia interno alla sede di Viale Mazzini, anche perche' le tre copie trafugate si trovavano nella mia stanza, in quella del vicedirettore Patrizia Cardelli e del funzionario competente e tutte e tre le stanze erano chiuse a chiave. Seppure non saranno quelli i palinsesti definitivi si tratta di un fatto grave perche si tratta di dati industriali sensibili per il mercato". Ora l'unica copia rimasta e' quella in possesso del vicedirettore generale Antonio Marano. "Siamo rimasti senza parole. Abbiamo fatto delle fotocopie per precauzione -afferma Marano- e i palinsesti saranno messi al voto giovedi' salvo sorprese dell'ultimo minuto. Ormai in Rai succede proprio di tutto, di piu'...".

Fonte: ADNKronos

Italia: infermiere recidivo sottraeva beni ai pazienti

2011-02-02T08:06:00.002+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: frode aziendale

Salvatore Orlando, infermiere di 49 anni, impiegato all'ospedale di Voltri, é stato accusato di aver derubato alcuni pazienti dopo averli narcotizzati. Secondo l'accusa, l'uomo avrebbe sottratto somme di denaro ed effetti personali dei degenti, ma anche materiale sanitario dai magazzini dell'ospedale.
Allo scopo di portare a termine le sue imprese criminose l'infermiere narcotizzava i pazienti per poter agire indisturbato. Per questo motivo, oltre ai reati di furto e rapina, è stato chiamato a rispondere anche del reato di esercizio abusivo della professione medica, oltre che di peculato per aver sottratto dall'ospedale del materiale sanitario.

Purtroppo non si tratta di novità per l'infermiete per l'uomo: Orlando già nel 1999, quando era dipendente della clinica oculistica San Martino, era stato arrestato per aver derubato i pazienti della struttura nonché per aver asportato del materiale sanitario. Nonostante l'arresto continuò a lavorare per la clinica fino a un secondo arresto, pochi anni dopo, per le stesse motivazioni.

Nota: questo è un caso da manuale in cui i controlli sulle attività precedenti (semplici controlli da casellario giudiziale) avrebbero fatto luce sulla tipologia di persona che è stata assunta dall'ospedale di Voltri e probabilmente avrebbero portato a considerazioni sui rischi della sua presenza all'interno della struttura. Oltre ai danni ai pazienti, non è da trascurare il danno d'immagine che soffrirà l'ospedale.

Fonte: la Repubblica

USA: dipendente di PHS condannata per frode aziendale

2011-02-01T09:59:00.002+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: frode aziendale

Un'ex dipendente della Presbyterian Health Care Services (PHS), Christine Horning di Albuquerque, è stata condannata a 2 anni di prigione e 4 anni di libertà vigilata per furto di identità aggravato e frode sanitaria, oltre al risarcimento di circa 25.000 $ alla Medicaid e alla stessa azienda presso cui era impiegata.
La donna era impiegata presso una farmacia della PHS e nel periodo maggio-giugno 2008 mise in pratica uno schema per frodare la sua azienda sottomettendo richieste false di rimborsi di prescrizioni da rimborsare a suoi parenti e amici, che li avrebbero successivamente inoltrati alla donna.
Secondo l'accusa, la Horning utilizzò nomi e dati identificativi di veri clienti PHS per compilare le richieste: su 17 richieste per un totale di $27,129.63, ottenne $24,679.48 da 15 di esse.
La Horning ha ammesso che utilizzò il database dell'azienda per creare le 17 prescrizioni false che vennero compilate con nomi dei clienti: per ogni richiesta modificò poi il nome e l'indirizzo del destinatario del rimborso con un nome di sua scelta.

Fonte: PHIprivacy

Francia: 1.5 milioni di indirizzi email divulgati dal sito di Sport-Elec

2011-02-01T07:46:00.000+01:00

Ambito: industria
Tipologia: fuga di informazioni personali

Sport-Elec è un'azienda leader in Europa per la produzione e la commercializzazione di elettrostimolatori. Il suo business è anche sostenuto da una presenza su Internet attraverso vari siti specializzati: è proprio attraverso uno di questi che la scorsa settimana sono stati resi disponibili 1 milione e mezzo di indirizzi email di clienti e persone interessate, un bottino certamente interessante per chiunque si occupi di spam.

Il file di password, identificato da Zataz, è accessibile da Google e dalla sua cache.

La Francia, attraverso la "Loi Informatique et Libertè" punisce questo tipo di fughe di informazioni con sanzioni fino a 5 anni di prigione e 300.000 € di ammenda (anche secondo l'articolo 226-17 del Codice Penale). La divulgazione di informazioni dovuta a imprudenza o negligenza può essere punita con 3 anni di prigione e 100.000 € di ammenda (secondo l'articolo 225-22 del codice penale). Naturalmente la pena va commisurata all'effettivo danno patito o potenziale delle vittime.

Fonte: Zataz

Canada: fuga di dati confidenziali da base militare in Afghanistan

2011-01-31T08:39:00.002+01:00

Truppe canadesi in Afghanistan
(fonte: Wikipedia)

Ambito: militare

Tipologia: fuga di informazioni confidenziali

Le forze armate canadesi hanno avviato un'inchiesta per accertare le responsabilità e gli effetti potenziali di una fuga di documenti classificati da una base militare di Kandahar, in Afghanistan.

I dati, che contenevano informazioni sulle risorse e sugli obiettivi dell'esercito canadese nella guerra in Afghanistan, sono stati inviati a un numero non precisato di destinatari non autorizzati, secondo i documenti militari ottenuti grazie alla Legge sull'accesso alle informazioni.

L'ufficio da cui si è originata la fuga di informazioni si trovava all'interno di un centro di gestione dell'intelligence canadese, che forniva informazioni ai militari stanziati localmente e ai decisori ad Ottawa.
Nessuno dei dati inviati è apparso fin'ora in alcun luogo, ne in WikiLeaks nè altrove.
La polizia militare non è stata in grado di determinare la sorgente della fuga e ha affermato che le operazioni canadesi possono effettivamente essere state messe in pericolo: le informazioni hanno riguardato solo un determinato periodo di tempo, sebbene le date precise non siano state individuate.

il National Investigation Service delle forze armate canadesi ha asserito che, una volta informati del problema, i funzionari di intelligence hanno tracciato le e-mail inviate e mandato ai destinatari una richiesta di rimozione di dati classificati.

Fonte: Metro Canada

Russia: codice dell'antivirus Kaspersky trafugato da un dipendente

2011-01-31T07:57:00.005+01:00

Ambito: industria informatica
Tipologia: fuga di informazioni confidenziali

Di questi tempi neanche le più affermate aziende impiegate nella sicurezza possono più stare tranquille: girava da qualche tempo su alcune reti specializzate la voce che il codice sorgente dell'antivirus Kaspersky fosse stato fatto uscire dall'omonima azienda per vie non del tutto legali.
Negli scorsi giorni il rumor si è tramutato in realtà: nel blog di Unremote Security potrete trovare un link al file .torrent che vi permetterà di scaricare un'archivio ZIP di 327 Mb contenente più di 1 GB di dati in 28 cartelle.
I dati presenti rappresentano il codice sorgente dell'antivirus Kaspersky delle edizioni 2008 e 2009.
Secondo Softpedia, il codice é stato trafugato da un ex-dipendente che ora si trova in carcere per scontare la sua pena dopo essere stato condannato per furto di proprietà intellettuale.
Un portavoce dei Kaspersky lab afferma che il codice è stato sottratto dal dipendente all'inizio del 2008, periodo in cui era impiegato presso l'azienda di sicurezza e aveva un accesso legittimo ai sorgenti.
Non si conoscono ancora le motivazioni di quest'azione, ma si sa che tentò di vendere il codice al mercato nero. Successivamente l'uomo venne arrestato e condannato a 3 anni di prigione.

Nota: sebbene il codice sia disponibile in forum pubblici dal novembre 2010, i file costituiscono proprietà intellettuale di Kaspersky Lab e ogni download, distribuzione o utilizzo di essi senza il consenso dell'azienda costituisce un'attività illegale.

Fonte: Unremote security via Securite wifi via Zataz/Softpedia

Nuova Zelanda: ex-dipendenti Telecom hanno ancora accesso ai dati aziendali

2011-01-27T09:04:00.001+01:00

Ambito: telecomunicazioni
Tipologia: violazione della sicurezza

Un'importante violazione della sicurezza del maggior fornitore di servizi di telecomunicazioni neozelandese, Telecom, ha visto il coinvolgimento della concorrente Slingshot.

Il giornale Herald on Sunday è stato in grado di accedere al database dei clienti di Telecom utilizzando i dati di login forniti dallo staff della Slingshot.
Il giornale ha parlato con cinque ex dipendenti della Power Marketing, l'azienda che segue il marketing della Slingshot, che hanno affermato che accedere ai dettagli dei clienti di Telecom, sebbene non fosse loro consentito, era una pratica comune del processo di vendita.
Gli accessi avvenivano da un computer della Power Marketing a Newmarket, Auckland.
Il database che conteneva i dettagli di più di 2 milioni di clienti, dava alla forza vendita il potere di conoscere esattamente i piani sottoscritti dai clienti di Telecom, le tariffe, durata e scadenza dei contratti.

Gli impiegati non accedettero mai a numeri di carte di credito o ai dettagli delle chiamate effettuate dai clienti Telecom.

La Slingshot ebbe una crescita molto rapida: in soli due anni la Power Marketing portò 160.000 nuovi clienti

Andrew Rozen, un ex-dipendente della azienda che ha cambiato lavoro lo scorso novembre, ha effettuato un test per controllare se il suo accesso fosse ancora attivo verificando che poteva ancora accedere liberamente ai dati dei clienti Telecom.
Secondo quanto affermato da Rozen, nessun tipologia di training sulle policy di sicurezza è stata condotta da Telecom.
La società non ha rilasciato dichiarazioni su quanto affermato da Rozen, ma ha asserito che le investigazioni sulla violazione di sicurezza stanno procedendo.
Secondo Alan Gourdie, il CEO della società, "Telecom ha policy e procedure di sicurezza molto dettagliate e aggiornate. L'accesso al database dei clienti richiede password, PIN e dovrebbe essere permesso solo al personale autorizzato nella fornitura di servizi retail.".
Non sembra essere dello stesso parere un ex-sales manager manager di Telecom che seguiva i rivenditori e che ha dichiarato che a nessuno di essi sono state comunicate procedure di sicurezza.

Fonte: NZHerald

Canada: dati di 60.000 pazienti sottratti a ospedale

2011-01-26T07:45:00.000+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni personali

Nello scorso mese di ottobre due computer sono stati trafugati dal Soins continus Bruyère, un gruppo di aziende ospedaliere canadesi: inizialmente si credeva che non contenessero dati sensibili, ma indagini ulteriori hanno rivelato che la situazione era diversa. Circa 61.000 documenti di pazienti visitati tra il 1971 e il 2006 si trovavano all'interno delle memorie di massa dei due PC.
Tra i dati dei pazienti figurano nomi, date di nascita, indirizzi, numeri di tessere sanitarie e di telefono. Fortunatamente sembrano non figurarvi anche informazioni sanitarie.
Dei 61.000 documenti, solo 7.000 contengono informazioni attuali, mentre i rimanenti riguardano situazioni passate di persone che, ad esempio, hanno cambiato l'indirizzo di residenza o numero di telefono, ecc.
Attualmente si sta occupando del caso la polizia di Ottawa, ed è stato avvisato l'ufficio per la protezione della provacy dello stato dell'Ontario.
Da ottobre, il centro medico ha implementato nuove misure di sicurezza che prevedono anche la crittografia dei dischi dei PC che contengono informazioni sensibili.

Fonte: cyberpresse.ca

Svizzera: i dati dei clienti di Credit Suisse sono stati rubati da un dipendente

2011-01-24T09:42:00.000+01:00

Ambito: finanza
Tipologia: fuga di informazioni personali

Secondo fonti ben informate, un dipendente del Credit Suisse è stato arrestato con l'accusa di essere il responsabile della fuga di dati dei clienti del credit Suisse e della loro successiva vendita alle autorità tedesche,
Il CD del Credit Suisse fu il primo di una serie di CD in circolazione provenienti da banche svizzere, molti dei quali si rivelarono però di scarsa importanza.

Così non è stato per il colosso bancario svizzero le cui informazioni, che sono state acquistate dal lander della Renania-Westfalia nel febbraio 2010 per la somma di 2.5 milioni di €, hanno portato gli investigatori tedeschi a esaminare più di 1.000 sospetti evasori fiscali.

Sul versante svizzero, invece, gli investigatori alla ricerca del responsabile della fuga di dati, hanno avuto indicazioni dalle autorità tedesche sulla descrizione della persona che ha venduto loro i dati: è stato quindi individuato un uomo di nazionalità austriaca Wolfgang U., di professione graphic artist, non un bancario e nemmeno un esperto di computer. ma probabilmente un prestanome del vero responsabile della fuga di dati.
Wolfgang U. era stato indicato poiché aveva versato una grossa somma di denaro in banca e voleva successivamente trasferirla. La banca aveva sottoposto alle autorità una segnalazione di sospetta attività di riciclaggio di denaro.
La vicenda si concluse poi tragicamente con il suicidio dell'uomo, nel carcere di Berna.
Le indagini sono poi proseguite e hanno portato all'incriminazione dell'ex-dipendente del Credit Suisse, attualmente in carcere.

Fonte: Tages Anzeiger

USA: infermiere licenziato per aver spiato le cartelle di Tiger Woods

2011-01-21T12:58:00.001+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni personali

David Rothenberg era l'infermiere di turno del Health Central Hospital di Ocoee il 27 novembre 2009, il giorno in cui venne ricoverato il campione di golf Tiger Woods, dopo essere andato a sbattere contro un albero con la sua Cadillac Escalad.
Secondo Rothenberg, dopo alcune ore dall'arrivo di Woods, qualcuno all'interno dell'ospedale diede uno sguardo ai dati confidenziali del paziente senza autorizzazione, utilizzando le credenziali di accesso dell'infermiere. L'accesso venne quindi registrato nei log del sistema di gestione e l'infermiere venne licenziato per accesso non autorizzato ai dati.
Rothenberg proclama però la sua innocenza e ha citato in causa l'ospedale affermando di non essere stato lui il responsabile dell'accesso ai dati: secondo quanto asserito dall'infermiere, qualcun altro deve aver fatto delle ricerche all'interno del sistema informativo ospedaliero sui nominativi di “Tiger Woods,” e di due pseudonimi che il campione utilizza spesso per preservare la propria privacy, “Ronald Williams” ed “Ernest Smith”. Egli ha anche aggiunto di aver lasciato l'applicazione aperta sul suo PC che non è stato presidiato mentre Rothenberg svolgeva altre mansioni all'interno dell'ospedale.

Nota: ci sono alcuni punti di interesse che è utile esaminare in questo caso:

l'ospedale ha individuato l'accesso non autorizzato, ma non è stato in grado di prevenirlo;
lasciare un'applicazione aperta e minimizzata su un PC non lockato e senza salvaschermo non è una buona pratica di sicurezza.
non siamo sicuri se i PC dell'ospedale sono configurati per effettuare un logout automatico o per lanciare un salvaschermo con richiesta di autenticazione dopo un certo periodo di inattività. Può essere quindi vero che qualche altro dipendente dell'ospedale ha avuto accesso ai dati dal PC di Rothenberg.

L'Health Central Hospital di Ocoee dovrebbe effettuare una revisione della sua sicurezza interna con un assessment per verificare quali falle possono dare luogo a violazioni di questo e di altro tipo.
Anche un programma di security awareness potrebbe contribuire ad evitare errori come quello di lasciare aperte applicazioni sensibili non presidiate sul proprio PC.

Italia: dipendente dell'Ausl di Bologna denunciato per frode

2011-01-20T09:20:00.000+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: frode aziendale

L'Ausl di Bologna ha presentato un esposto in Procura nei confronti di un proprio dipendente, gia' sospeso dal servizio, che avrebbe truffato l'azienda sanitaria intascandosi circa 300.000 euro di contributi destinati a presunti disabili, in riferimento ai quali pero' non e' stata trovata alcuna pratica di richiesta. A dare la notizia dell'esposto e' la stessa Ausl: e' stato il direttore generale in persona, Francesco Ripa di Meana, a consegnare l'esposto questa mattina nelle mani del procuratore capo Roberto Alfonso. L'esposto, che segnala presunti illeciti di natura amministrativa e contabile dice l'Ausl, si e' gia' trasformato in un fascicolo. E' stato aperto in Procura per truffa aggravata e falso. L'inchiesta sara' assegnata nelle prossime ore a uno dei magistrati del pool che si occupa di reati contro la pubblica amministrazione.
L'Ausl, nella nota, spiega come si e' arrivati alla decisione di presentare denuncia. Tutto e' partito dopo che, nel corso dell'attivita' aziendale di verifica e controllo sull'erogazione di contributi economici a favore di disabili del distretto di Bologna, sono state riscontrate gravi irregolarita' ritenute meritevoli della valutazione della magistratura. In particolare, le verifiche hanno portato alla luce contributi economici erogati dall'Ausl a favore di disabili per i quali non era stata attivata alcuna istruttoria tecnica per la documentazione e valutazione del bisogno, ne' tanto meno richiesta. I contributi economici, che ammonterebbero a circa 300.000 euro, risultavano invece regolarmente incassati da un dipendente amministrativo dell'azienda sanitaria. L'Ausl ha provveduto a sospendere immediatamente, in via cautelativa, lo stesso dipendente.

Fonte: Yahoo News

Singapore: bancario vende dati confidenziali di clienti

2011-01-18T08:27:00.004+01:00

Ambito: finanza
Tipologia: fuga di informazioni personali

Un impiegato della DBS Bank, Sazaly Selamat, a causa di gravi problemi finanziari, ha venduto dati dettagliati dei clienti a usurai e bookmaker e per questo motivo é stato giudicato colpevole dalla corte di Singapore.
Quando era impiegato presso la banca, Sazaly aveva autorizzazioni per l'accesso ai dati del database dei clienti; nel 2003 iniziò ad avere difficoltà finanziarie e la sua automobile venne requisita due anni dopo per aver mancato dei pagamenti.
Iniziò quindi a passare i dati a bookmaker e usurai che avevano dei crediti nei confronti di alcuni clienti della banca presso cui Sazaly lavorava.

Fonte: The Straits Time

Svizzera: un ex-bancario di Julius Bär vuole pubblicare dati dei clienti su WikiLeaks

2011-01-17T10:55:00.000+01:00

Ambito: finanza
Tipologia: fuga di informazioni personali

Rudolf Elmer, un ex-dipendente svizzero impiegato presso la filiale delle isole Cayman della banca privata Julius Bär, ha dichiarato di voler consegnare a WikiLeaks due CD contenenti i nomi di circa 2000 clienti della banca che vi hanno depositato i propri patrimoni per sfuggire alle maglie del fisco nel periodo di tempo che va dal 1990 al 2009.
Secondo Elmer, almeno 40 tra politici e miliardari di Stati Uniti, Svizzera, Germania e Gran Bretagna.
Sebbene questi dati saranno consegnati oggi nel corso di una conferenza stampa con il fondatore di WikiLEaks, Julian Assange: dopo un'attenta analisi da parte di WikiLeaks, saranno poi divulgati in un secondo momento.
Rudolf Elmer deve apparire di fronte alla corte di Zurigo mercoledì per rispondere dell'accusa di violazione del segreto bancario successivamente alla divulgazione nel 2007, sempre a WikiLeaks, di centinaia di nomi di clienti. Secondo la stampa svizzera, alcuni di questi clienti sono indagati per evasione fiscale nei rispettivi stati di appartenenza.

Fonte: RSR.ch

Italia: Treviso, truffava l'Usl 9 condannata a undici anni

2011-01-17T08:06:00.000+01:00

Tipologia: frode aziendale
Ambito: assistenza sanitaria/healthcare

È stata condannata con rito abbreviato alla pena di 11 anni di reclusione Loredana Bolzan, la ex dipendente della Usl 9 di Treviso accusata, assieme ad altre persone, di aver messo in atto un sistema attraverso il quale dirottare, tramite il sistema informatico interno, risorse dell’azienda sanitaria a conti correnti privati. La donna, secondo l’accusa, attraverso questo sistema avrebbe sottratto alle casse pubbliche poco meno di 4 milioni di euro nel corso di alcuni anni. Con lei, per la medesima accusa di peculato ed altre minori, sono stati condannati anche il fratello, Luigi Bolzan, a 8 anni di carcere, e Massimo Zanta a 5. Una decina di altri imputati saranno processati il prossimo 5 aprile. Il giudice ha rigettato per i condannati l’ipotesi di associazione per delinquere riconoscendo invece la fattispecie più lieve di concorso di persone in reato continuato. Bolzan è stata inoltre condannata a pagare alla regione Veneto, costituitasi parte civile, una provvisionale immediatamente esecutiva pari a 4 milioni di euro.

Fonte: Ansa

Italia: un accusa per spionaggio industriale si ritorce contro l'azienda

2011-01-14T19:59:00.000+01:00

Ambito: industria
Tipologia: spionaggio industriale

Presunto spionaggio industriale alla Valagro SpA, assolti Gandolfi, Valenti e Bracalenti

LANCIANO. Le accuse parlavano di presunto spionaggio ai danni della Valagro. La sentenza di primo grado però assolve gli imputati.
Così Fabio Gandolfi di Cremona, Leonardo Valenti di Pescara, Giorgio Bracalenti di Macerata sono stati assolti in primo grado «perchè il fatto non sussiste».
La storia era cominciata a seguito della denuncia presentata da Ottorino La Rocca, presidente della azienda che produce concimi ad Atessa. Il processo, svoltosi con riti differenti (abbreviato per Gandolfi e ordinario per Valenti e Bracalenti) si è concluso in tutti i casi con sentenze di assoluzione con formula piena perché il fatto non sussiste.
La vicenda risale alla fine del 2005 quando, dopo le dimissioni di Bracalenti dalla Valagro, La Rocca richiese ad una ditta milanese specializzata in informatica forense di sottoporre ad analisi il personal computer in dotazione dal quale Bracalenti aveva cancellato – prima della restituzione – tutti quei documenti di natura privata che vi erano transitati, comprese le caselle di posta elettronica personale.
Era rimasto del tutto intatto, invece, l’archivio con i dati aziendali. La società milanese ha restituito alla Valagro un ampio rapporto nel quale veniva riportata l’attività di analisi che si era spinta fino al recupero ed alla messa in evidenza della documentazione privata che era stata cancellata a protezione della privacy.
«Sono state così rese note», ricorda Bracalenti, «tutta una serie di informazioni riservatissime e sensibilissime come che cosa avevo acquistato online, centinaia di foto di famiglia, dati patrimoniali personali, passwords e tutta la mia corrispondenza privata. Tale materiale è stato utilizzato dalla Valagro per supportare la denuncia a firma del signor La Rocca». A febbraio si è chiuso il procedimento sul presunto spionaggio che secondo il giudice non sussiste, mentre resta in piedi un procedimento in cui è imputato proprio La Rocca.
Appena scoperto cosa accaduto Bracalenti ha infatti immediatamente sporto una controdenuncia nei confronti di La Rocca e della società milanese per violazione di corrispondenza privata «che se è certamente di per sè un reato», commenta il denunciante, «assume una maggiore gravità per la circostanza di essere stato consumato in funzione di un rapporto di lavoro e da parte di un Datore di Lavoro».
Il pm ha chiesto il rinvio a giudizio e il processo, comunica Bracalenti, avrà inizio l’8 luglio 2011.

Fonte: PrimaDaNoi

Francia: spionaggio industriale a la francaise

2011-01-13T08:33:00.000+01:00

Ambito: industria
Tipologia: spionaggio industriale

La Francia, più ancora della Cina e della Russia, è il paese più attivo nel campo dello spionaggio industriale: è quanto ha affermato il quotidiano norvegese Aftenposten basandosi sull'analisi dei dispacci diplomatici resi disponibili da WikiLeaks.
Un cablogramma inviato dall'ambasciata americana a Berlino afferma infatti che lo spionaggio francese è così esteso che i danni che ha arrecato all'economia tedesca sono superiori a quelli cagionati da Cina e Russia insieme.
Berry Smutny, direttore generale della OHB, azienda che costruisce satelliti per il programma Galileo (il sostituto europeo del GPS), ha affermato che "la Francia è l'impero del male per quel che riguarda la sottrazione di tecnologia"Secondo altre note di WikiLeaks, la Germania continuerà a sviluppare, con l'aiuto degli Stati Uniti, il suo programma Hirose di satelliti per l'osservazione ottica, nonostante le obiezioni della Francia, che attualmente controlla gli sforzi europei in questo ambito grazie al satellite Helios.

Fonte: Le Figaro

Svizzera/Italia: lista trafugata all'HSBC - Primi indagati per evasione fiscale

2011-01-12T10:07:00.000+01:00

Ambito: finanza
Tipologia: fuga di informazioni personali

Spuntano i nomi dei primi indagati, oltre 700, iscritti nel registro dalla Procura di Roma nell’ambito delle indagini sulla cosiddetta «lista Falciani», un elenco di vip italiani con i capitali in Svizzera stilata da Herve Falciani, ex dipendente della banca Hsbc, in possesso del file.
Folta la schiera degli stilisti, in cui compaiono Valentino, Renato Balestra, Giuseppe Lancetti e Sandro Ferrone, ma non mancano attrici e soubrette, come Stefania Sandrelli (che avendo usufruito dello `scudo´ fiscale non dovrebbe essere più perseguibile) o Elisabetta Gregoraci, imprenditori come il presidente della Confcommercio di Roma, Cesare Pambianchi, gioiellieri come Gianni Bulgari o società come Telespazio, colosso specializzato in armamenti e sistemi di difesa.
Moltissimi nomi però, appartengono a perfetti sconosciuti ai più: tra questi, i proprietari di alcuni negozi del centro della capitale con un cospicuo fatturato. E ancora, la principessa Fabrizia Aragona Pignatelli, Francesco D’Ovidio Lefebvre, Camilla Crociani, imparentata con Carlo di Borbone e figlia del noto uomo d’affari coinvolto nello scandalo Loockeed, già presidente della Finmeccanica, morto in Messico nel 1980.
Gli oltre 700 indagati dalla Procura della Repubblica di Roma hanno domicilio fiscale nel Lazio. Il procuratore aggiunto Pierfilippo Laviani e il sostituto Paolo Ielo contestano a tutti le accuse di omesse o incomplete dichiarazioni dei redditi per qualche centinaia di milioni di euro.
Nelle prossime settimane sarà verificata la loro posizione, soprattutto per accertare se abbiano già usufruito, o meno, dello `scudo´ fiscale. Qualcuno, poi, come il regista Sergio Leone, anch’ egli in elenco, potrebbe risultare nel frattempo deceduto. La «lista Falciani», trafugata da un ex funzionario alla Hsbc e consegnata alle autorità francesi dopo alcuni vani tentativi di vendita al miglior offerente, comprende, oltre a molti soggetti esteri, 5.595 cittadini e 133 società italiane, ed è aggiornata alla fine del 2006. Il totale dei depositi occultati al fisco ammonta a 5 miliardi e mezzo di euro, tutti depositati presso la filiale di Ginevra della banca inglese Hsbc.

La speranza, per quell’ottantina di residenti liguri che avevano il conto alla Hsbc di Ginevra, è che il loro commercialista sia stato tanto attento da far loro approfittare dello scudo fiscale di Giulio Tremonti. Diversamente, per loro come per i contribuenti finiti nella lista Falciani, sarà dura sfuggire ai controlli della Guardia di Finanza. A partire da quelle 850 apparenti casalinghe, in realtà assai spesso “mogli di”, che risultano aver avuto un tesoretto nella filiale ginevrina della banco anglo-cinese. Per chi non ha scudato, oltre a tutto, varranno le nuove norme sull’inversione dell’onere della prova.

Ovvero, saranno i contribuenti a dover dimostrare che i soldi delle loro posizioni alla Hsbc non sono frutto di evasione fiscale. Mentre la Procura di Torino aspetta di poter mettere le mani sulla lista trovata dalla polizia francese nel pc di Hervè Falciani, ex dipendente della banca, a Roma le Fiamme Gialle stanno già studiando il materiale ricevuto per rogatoria dalle autorità francesi. «Quello che colpisce – racconta uno degli investigatori – è la dimensione del fenomeno e il fatto che si tratti in grandissima parte di sconosciuti, il che la dice lunga su quanto l’evasione fiscale sia fenomeno di massa». Come in Grecia, verrebbe da dire, se il paragone non fosse vagamente iettatorio. Alcune cifre aiutano a capire. Sulle 6.936 posizioni italiane, trovate su una sola filiale e di una sola banca a Ginevra tra il primo gennaio 2005 e il 31 dicembre 2006, oltre 1.200 sarebbero conti o dossier titoli riferiti allo stesso contribuente. Per la precisione, i singoli sarebbero 5.798, dei quali 5.595 persone fisiche e 133 persone giuridiche. Fra queste ultime spunta perfino qualche decina di “enti morali”, anche se è probabile che la dicitura francese sia imprecisa e che si tratti in realtà di trust familiari di quelli sempre più in voga per evitare grane ereditarie o fallimentari.
Il totale dei soldi ai quali fa riferimento la lista Falciani è di 6,9 miliardi di dollari e sono ben 132 le posizioni singole che potevano esibire un saldo attivo superiore a 10 milioni di dollari. Se invece si guarda la lista con l’occhio del sociologo, la fotografia è abbastanza singolare. Viene fuori che il 51% dei presunti evasori sarebbero imprenditori.
Poi però sbuca un 15% di casalinghe, spesso totalmente ignote al Fisco italiano o sotto la soglia di povertà, che però sono evidentemente “mogli di”. Su di loro stanno partendo le prime verifiche perché sono i casi più eclatanti o indifendibili che dir si voglia. Seguono un 14% di professionisti, 11% di dirigenti, 4,5% di pensionati e un fantastico 2% di studenti che sono evidentemente meno “bamboccioni” di quanto pensi la nostra Agenzia delle Entrate. Infine, dal punto di vista geografico, oltre il 63% dei personaggi schedati da Falciani sono lombardi, l’1,5% sono liguri. Chi ha pensato di andare a Ginevra perché più sicura di Montecarlo, oggi si starà mangiando le mani.

Fonte: Il secolo XIX

USA: dati personali di 760.000 studenti divulgati su Internet

2011-01-12T07:31:00.000+01:00


Ohio State University Hall (Courtesy of Wikipedia)

Ambito: educazione
Tipologia: fuga di informazioni personali

La Ohio State University ha notificato a circa 760.000 studenti, professori e impiegati che i loro nomi e Social Security Number sono stati divulgati su Internet in una delle violazioni più importanti e costose che abbiano colpito un campus: le spese preventivate per la attività di analisi forense e di protezione del credito si aggirano intorno ai 4 milioni di dollari.
Nello scorso ottobre, una revisione di routine della sicurezza IT scoprì un'attività sospetta su un server del campus contenente un database con i dati di 760.000 persone: il personale dell'università isolò il server e contattò le società Interhack e l'Stroz Freidberg per investigare l'eventuale compromissione di dati personali. Entrambi confermarono che degli hacker penetrarono illegalmente nel server e che tentarono di utilizzare i sistemi dell'università per lanciare attacchi verso altre organizzazioni.
L'università continuerà a lavorare con i consulenti forensi per migliorare le sue difese.
Sono inoltre state inviate notifiche alla polizia del campus e all'FBI.
Dal 2008, sono state 158 le violazioni di sicurezza individuate all'interno di università, che hanno portato alla compromissione di più di 2.3 milioni di dati.
L'Ohio State University è stata vittima di una violazione nel 2006 quando i dati sensibili di 60.000 pazienti dell' Hudson Health Center furono trafugati. Anche l'Innovation Center dell'università venne violato durante un altro attacco portando alla fuga di proprietà intellettuale e e-mail personali.
Due amministratori di sistema persero il lavoro dopo essere stati ritenuti responsabili della scarsa protezione dei loro sistemi.

Fonte: The Columbus Dispatch

Francia: Renault vittima di spionaggio industriale

2011-01-11T08:26:00.001+01:00

Ambito: industria automobilistica
Tipologia: fuga di informazioni confidenziali

Tre dirigenti della casa automobilistica francese, compreso un membro dello steering committee, sono stati sospesi per aver passato alla concorrenza importanti informazioni sugli interessi del gruppo industriale.
A conclusione di un'inchiesta interna, l'azienda ha rivelato che dall'agosto del 2010, grazie a una rivelazione di un impiegato, è stata condotta un'analisi su possibili fughe di informazioni che si è conclusa con l'individuazione dei tre presunti responsabili.
Attualmente il caso è sotto l'analisi del Direttorato Centrale dell'Intelligence Interna ( Central Directorate of Internal Intelligence - DCRI), ovvero dei servizi segreti francesi.
La pista seguita dagli investigatori è quella cinese, anche se il CDRI non ha divulgato informazioni dirette che supportassero questa voce.

La casa automobilistica non ha confermato che denuncerà i tre dirigenti, sebbene attualmente essi siano stati posti sotto custodia cautelare da parte della polizia.
La vendita di segreti industriali avrà particolarmente effetto sul programma dell'azienda francese relativo alle tecnologie dei motori elettrici, considerato di importanza strategica per il futuro e sul quale sono già stati investiti 4 miliardi di €, insieme al partner Nissan: i primi modelli a emissioni-zero veranno commercializzati nel corso del 2011, mentre Zoe, il modello elettrico di punta, uscirà nel 2012.

La tecnologia delle auto elettriche è considerata fondamentale da tutti i costruttori mondiali e viene supportata anche dai governi: l'agenzia cinese Xinhua ha scritto lo scorso ottobre che la produzione di veicoli elettrici in Cina supererà il milione di unità per il 2020.

Fonte: La Tribune - Yahoo News

Italia: impiegato sottrae 700mila euro alla Chateau d'Ax

2011-01-10T08:59:00.000+01:00

Ambito: commercio
Tipologia: frode aziendale

Assegni circolari con firme false, ma anche soggiorni e viaggi all’estero mai effettuati, ed addebitati all’azienda per cui lavorava. Grazie al suo ruolo di responsabile dell’ufficio contabile della Chateau d’Ax, Marco Tettamanti, 58 anni di Como, sarebbe riuscito a sottrarre all’azienda di cui era dipendente 700mila euro, girati sui suoi conti personali. Ora il sostituto procuratore di Como Massimo Astori lo accusa di truffa, aggravata dall’ingente danno e dall’aver approfittato del ruolo ricoperto all’interno della società. In concorso con lui è indagato Sandro Cristianini, 37 anni di Novara, titolare della «Cristianini Viaggi» di Lentate sul Seveso, che avrebbe fornito false prestazioni per viaggi e soggiorni all’estero, per giustificare l’emissione di pagamenti da parte della Chateau d’Ax per circa 115mila euro, ma per lui si aggiunge l’accusa di aver prodotto false scritture private, e in particolare di aver falsificato la firma di Antonio Colombo, amministratore dell’azienda di mobili, per confezionare richieste utilizzate per il prelevamento di valuta estera e emissione di assegni circolari. Le contestazioni mosse a Tettamanti vanno dal 2005 al 2009, periodo durante il quale il contabile avrebbe incassato denaro derivante da false richieste di emissione di assegni circolari, fittiziamente firmate dall’amministratore della società: assegni che poi venivano girati sempre apponendo la firma falsa di Colombo, e depositati su conti correnti intestati a Tettamanti o a persone della sua famiglia.
La ricostruzione dei movimenti tra luglio 2005 e novembre 2009, quantifica in 554mila e 700 euro il danno derivante da questo sistema, a cui si aggiungerebbero 46mila euro incassati attraverso false richieste di valuta estera. In quest’ultimo caso le cifre erano esigue, e oscillavano tra i quattromila e gli ottomila euro per ogni addebito. Al 2009 sarebbero invece riconducibili le operazioni che si ritiene siano state fatte in accordo con Cristianini: in questo caso di trattava di fatture predisposte dal titolare dell’agenzia su indicazione di Tettamanti, per viaggi e soggiorni all’estero forniti alla Chateau d’Ax, che servivano poi a giustificare, all’interno dei movimenti contabili, l’emissione di assegni circolari sui conti della Spa, a favore degli istituti di credito in cui erano aperti conti riconducibili al dipendente ora indagato.

Fonte: Il Giorno

USA: l'esercito ha aperto indagine sul suo ruolo nel caso WikiLeaks

2011-01-10T07:54:00.000+01:00

Ambito: militare
Tipologia: fuga di informazioni confidenziali

L'esercito statunitense ha lanciato un'indagine ad ampio spettro per comprendere come un militare possa aver potuto scaricare centinaia di migliaia di documenti secretati e dispacci diplimatici per poi inoltrarli a WikiLeaks.
E' la seconda volta in un anno che le policy interne dell'esercito vengono sottoposte a revisione: nel novembre 2009 uno psicologo dell'esercito aprì il fuoco verso i suoi commilitoni a Fort Hood, in Texas, uccidendo 13 militari.

In quel caso le investigazioni si focalizzarono su come i superiori avessero mancato di individuare segnali che il maggiore Nidal Hassan, che era in contatto con un imam radicale di origini yemenite, potesse rivoltarsi contro l'esercito. L'indagine ebbe come risultato il cambiamento di decine di procedure interne.
La nuova task force costituita da 6 militari ha tempo fino al 1 febbraio per compilare un rapporto che stabilisca le modalità in cui il soldato Bradley Manning fu selezionato per il suo lavoro e formato, nonché come i suoi superiori non notarono che stava scaricando documenti che non aveva bisogno di leggere.
Il rapporto potrebbe cambiare il modo in cui l'esercito conferisce l'accesso a documenti governativi, nonché a individuare militari che hanno lavorato con Manning e che potevano essere al corrente delle sue attività.

Manning lavorava come specialista di intelligence a Baghdad per tutto il 2009 e per i primi mesi del 2010, quando scaricò centinaia di documenti classificati.
La pubblicazione di questi documenti da parte di WikiLeaks iniziò nell'aprile 2010 con la divulgazione di un video che mostrava un elicottero americano che sparava verso dei civili scambiati per integralisti islamici. Successivamente vennero divulgati documenti riguardanti la guerra in Afghanistan.
Come Manning sia diventato uno specialista di intelligence è la questione chiave che la task force dovrà affrontare. Gli enti governativi statunitensi hanno tre grandi classi di documenti classificati: confidenziali, segreti e top secret. Ogni servizio determina che tipo di accesso deve avere ogni militare, dipendentemente dalla sua attività. Un dipartimento centrale della difesa, il Defense Security Service, emette le autorizzazioni basandosi sul lavoro del militare, sulla necessità di conoscenza e su controlli di background. Autorizzazioni di alto livello prevedono anche un'intervista da parte del DSS.
Secondo un rapporto del 2009 dello U.S. Government Accountability Offic, circa 2,4 milioni di persone hanno autorizzazioni di sicurezza, mentre erano 3 milioni negli anni '90. Il calo è dovuto più che altro alla riduzione della dimensione dell'esercito, che è passato dalle 20 divisioni degli anni '90 alle 10 attuali.
Nonostante il calo numerico,i militari hanno avuto un sempre crescente accesso a informazioni di svariata natura, specialmente durante la guerra in Iraq, allo scopo di fornire il maggior numero di informazioni possibili ai combattenti.
Dal momento in cui WikiLeaks iniziò a pubblicare i dispacci classificati dal 1966 in poi, il Dipartimento di Stato rimosse i suoi documenti da SIPRNet (Secret Internet Protocol Router Network) la rete del Dipartimento della Difesa. La Casa Bianca inoltre ordinò alle altre agenzie governative di individuare metodi migliori per proteggere le informazioni.

Fonte: Miami Herald

Francia: politico locale arrestato per spionaggio informatico

2010-12-28T08:56:00.001+01:00

Ambito: amministrazione pubblica
Tipologia: violazione della sicurezza

Un dirigente di una sezione del dipartimento dell'Alta Garonna dell'UMP, l'Union pour un mouvement populaire, partito il cui leader é il presidente francese Nicolas Sarkozy, è stato arrestato con l'accusa di pirateria informatica e furto di dati bancari.
Dopo pochi giorni dalle elezioni interne dell'UMP locale, un responsabile della sezione è accusato di aver effettuato acquisti su Internet utilizzando il numero di carta di credito dell'ex segretario di dipartimento, Christian Raynal, e inoltre di aver installato un programma spyware nel computer dell'ex-presidente della federazione dell'Alta Garonna, l'eurodeputato Christine de Veyrac.
Il keylogger ha permesso di spiare ogni comunicazione della donna.
La polizia ha recuperato del materiale acquistato fraudolentemente presso il domicilio del politico e nella casa di un complice.
L'indagato ha probabilmente introdotto un programma per catturare le password nel computer di Christine Veyrac durante la corsa per il rinnovamento dello Stato maggiore generale del UMP del dipartimento 31. La scoperta dell'atto di pirateria ha rivelato come, durante la campagna interna, alcune informazioni riguardanti la strategia del deputato de Veyrac fossero note ai concorrenti. Messa in minoranza, Madame de Veyrac ha perso la presidenza dell'UMP 31. A lei è succeduto Jean-Luc Moudenc.

Fonte: La Depeche du Midi via zataz

Francia: rubati computer contenenti dati confidenziali su siti nucleari

2010-12-27T08:06:00.003+01:00

Ambito: industria nucleare
Tipologia: fuga di informazioni confidenziali

Lo scorso weekend sono stati trafugati due pc portatili da un laboratorio di ricerca e sviluppo della principale azienda energetica francese, l'EDF, situato a île de Chatou (Yvelines).
I due sistemi contenevano dati confidenziali riguardanti i sistemi di gestione di varie centrali nucleari e termiche del territorio transalpino.
I due computer erano dotati di misure antifurto ed erano collocati nel reparto di gestione e controllo della produzione di energia elettrica: il sito è permanentemente securizzato e i ladri, che hanno agito con molta discrezione, dovevano conoscere molto bene il luogo.
Il polo dell'EDF di île de Chatou è costituito da quasi 40.000 m2 di uffici e conta 700 tra ricercatori, tecnici e studenti universitari.
Una fonte vicina alle indagini ha affermato che: «I due laptop rubati non hanno grande valore in sé. Tuttavia, l'utilizzo dei dati sensibili in essi contenuti può far gola a molti, a partire da potenze straniere che intendono sviluppare lo sfruttamento dell'energia nucleare. »
Le indagini in corso non escludono nessuna ipotesi, compresa quella dello spionaggio industriale. Sembra invece molto improbabile il semplice furto, considerata l'ambito sensibile di impiego dei due sistemi.

Fonte: Le Parisien

Regno Unito: dati sensibili di pazienti su computer trafugato in ospedale

2010-12-23T08:35:00.000+01:00

Il Calderdale Royal Hospital di Halifax,
West Yorkshire

Ambito: assistenza sanitaria/healthcare

Tipologia: fuga di informazioni sensibili

I dati sensibili di 1.500 pazienti erano presenti all'interno di un computer trafugato tra il 20 e il 21 novembre scorso presso il Calderdale Royal Hospital di Halifax.
Il computer era parte di un sistema di elettromiografia dislocato all'interno del dipartimento di neurofisiologia dell'ospedale.
In seguito alla violazione, il management dell'ospedale ha condotto una revisione completa della sicurezza: l'edificio è ora protetto da codici di ingresso e l'accesso ad alcuni uffici è stato ulteriormente ristretto.

Fonte: Evening Courier
Immagine: © Copyright Mark Anderson and licensed for reuse under this Creative Commons Licence

Regno Unito: informazioni sensibili di pensionati trovate su chiave USB

2010-12-21T07:55:00.002+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni personali

I dettagli personali di 140 pensionati sono stati trovati su una chiave di memoria USB non criptata trovata nel centro della città di Oxford: tra le informazioni ivi presenti, nomi, indirizzi e telefoni dei clienti della Cornmarket Street-based Oxford Aunts, un'istituzione di cura per anziani che offre servizi assistenziali a centinaia di clienti in tutta l'Inghilterra meridionale, tra cui anche infermi e persone affette da demenze.

Nella stessa chiavetta erano presenti informazioni riguardanti gli stipendi, nomi e indirizzi di centinaia di dipendenti dell'istituto.

Lynda Gardner, CEO della società, ha affermato che è deplorevole che le debolezze nelle procedure di gestione dei dati di clienti e dipendenti vengano considerate solo quando sono violate deliberatamente o inavvertitamente.
In seguito alla segnalazione del giornale Oxford Mail, che ha ricevuto la chiave smarrita, è stata iniziata una investigazione dettagliate nelle procedure interne per capire come proteggere le informazioni.

Fonte: The Oxford Times

USA: fermati i chiacchieroni dell'ICT

2010-12-20T15:16:00.000+01:00

Ambito: industria elettronica

Tipologia: fuga di informazioni confidenziali

L'FBI stronca su una rete illegale di informazioni di mercato. Tra le vittime ci sarebbero Apple e AMD: i cui piani e i cui numeri sarebbero stati venduti a caro prezzo agli speculatori

Roma - Quattro i manager accusati dalle autorità federali di aver spifferato, in cambio di soldi, segreti sui futuri prodotti di Apple e sui dettagli finanziari di importanti aziende tecnologiche. "Le informazioni passate dai quattro consulenti sono andate ben al di là delle ricerche di mercato consentite", ha detto Janice Fedarcyk dell'FBI. Per questo sono ascrivibili agli imputati i reati di insider trading.

Coinvolti sono quattro manager di aziende tecnologiche che facevano da consulenti per la Primary Global Research LLC, azienda che fornisce analisi di mercato e che funge da "esperta di rete": al vertice dei quattro ci sarebbe, secondo l'accusa, James Fleishman, che fungeva da tramite tra i fondi speculativi interessati alle informazioni e i delatori.

Le accuse sono di frode informatica e associazione a delinquere volta alla frode: per un totale massimo di 20 anni di carcere. Coinvolto, inoltre, un impiegato di Primary Global.Un altro consulente, Daniel DeVore, si è dichiarato colpevole per le accuse connaturate all'insider trading già il 10 dicembre e adesso sta collaborando con le autorità. A novembre era poi già stato arrestato Don Ching Trang Chu, altro consulente collegato a Primary Global Reaserach a Taiwan.

Il procuratore Preet Bharara ha delineato il quadro in cui i quattro si muovevano, descrivendone la collusioni: "Una rete di infiltrati nelle aziende leader mondiali della tecnologia che svendono i loro datori di lavoro e spacciano le preziose informazioni ottenute". Il cui prezzo superava, dice l'FBI, i 400mila dollari.

Fra le vittime nove aziende, a nessuna delle quali è imputato un coinvolgimento. Fra di esse Advanced Micro Devices, Taiwan Semiconductor Manufacturing e Flextronics International: per esse lavoravano i consulenti di Primary Global Research.
Di AMD sono stati divulgati, andando ad influenzare le operazioni di mercato conseguenti, i numeri relativi ai profitti e alle previsioni di mercato.

Per quanto riguarda invece le altre due aziende, in quanto fornitori, le informazioni su di loro hanno tirato in ballo i prodotti finali di altri soggetti: tra le vittime indirette vi è per esempio Apple che ha visto diventare oggetto di contrabbando alcune caratteristiche e le previsioni di vendita di iPhone 4 e di iPad, che all'epoca dei fatti erano attesi sul mercato, e che sarebbero state divulgate da Walter Shimoon, 39enne manager di Flextronics, che ha già provveduto a licenziarlo. Stessa decisione è stata presa da Taiwan Semiconductor Manufacturing nei confronti del suo manager coinvolto nei fatti. E da Primary Global, che ha riferito di aver tagliato le relazioni con gli uomini coinvolti nel caso.

Il ruolo svolto dai cosidetti esperti di rete, come viene definita Primary Global Research, consente di essere in una posizione di mezzo particolarmente succulenta per un insider trader: mettono in contatto fondi di investimento e altri protagonisti del settore. L'obiettivo per le autorità statunitensi è proprio quello di arrivare ora ai responsabili dei fondi speculativi che hanno assoldato i consulenti e ricevuto le informazioni riservate.

Fonte: Punto Informatico

USA: dipendente IT licenziata si vendica cancellando dati

2010-12-17T09:40:00.000+01:00

Tipologia: violazione della sicurezza
Ambito: assistenza sanitaria/healthcare

Patricia Marie Fowler, una dipendente del dipartimento IT della Suncoast Community Health Center, è stata condannata a 19 mesi di prigione perchè ritenuta colpevole di aver cancellato migliaia di record di pazienti e le password degli utenti interni, impedendone così l'accesso ai sistemi informativi.
L'attacco è stato condotto 4 giorni dopo dal suo licenziamento per insubordinazione e la stima dei danni si aggira intorno ai 17.000 $.
Il 17 marzo del 2009, alcuni dipendenti dell'istituzione scoprirono un'intrusione che aveva causato malfunzionamenti ad alcuni sistemi informativi. Da quella data e fino al 1 aprile 2009 vennero effettuate diverse intrusioni nei sistemi che ebbero come risultato la cancellazione e lo spostamento di file nei PC di alcuni dirigenti, la modifica di account amministrativi e di password, la rimozione di accessi a sistemi di infrastruttura, la modifica di stipendi nel sistema retributivo aziendale e, infine, la compromissione del firewall utilizzato per proteggere la rete dell'azienda.
La Fowler era stata immediatamente sospettata e, dopo aver negato ogni addebito, ha confessato in presenza di agenti dell'FBI

Fonte: FBI via The Register

USA: rubati migliaia di Social Security Number da consulente informatico

2010-12-16T09:05:00.003+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

La Social Security Administration di New york ha dichiarato ieri che un consulente impiegato presso l'Office of Temporary Disability Assistance ha illegalmente scaricato 15.000 Social Security numbers, mentre era occupato in attività di aggiornamento dell'infrastruttura informatica.
Michael Astrue, commissario della Social Security, ha affermato che il consulente è stato arrestato dalla polizia di New york e che le indagini sono ancora in corso: non è al momento possibile precisare l'entità esatta del danno, sebbene pare che alcune informazioni siano già state utilizzate per scopi illegali.
A tutti i cittadini le cui informazioni sono state compromesse verrà inviata una notifica insieme a un servizio annuale gratuito di monitoraggio del credito.

Fonte: WNYT e Office of Inadequate Security

USA: ex-preside di facoltà viola la sicurezza del sistema informativo universitario

2010-12-15T11:04:00.000+01:00

Tipologia: violazione della sicurezza
Ambito: educazione

Nel 2007 molti studenti della Kaplan University, un'istituzione per l'educazione a distanza di livello universitario, ricevettero un'email firmata dal direttore della scuola che aveva come soggetto “YOU ARE F-----!”
All'interno del messaggio si riportava che il sito della scuola era stato attaccato da hacker e che tutte le informazioni personali del destinatario, tra cui i numeri di carte di credito, sarebbero state utilizzate per fini illeciti.
In queste settimane si sta svolgendo il processo contro il presunto autore di questa azione, ovvero, Bennie Wilcox, l'ex preside della facoltà di studi legali della Kaplan University.

Secondo le accuse, l'uomo, che era stato licenziato dal suo lavoro da 111.000 $ di stipendio annui, si è inserito nel computer di un ex collega inviando una fiumana di e-mail a studenti, dirigenti e altri dipendenti della Kaplan.
I messaggi furono così minacciosi che alcuni dirigenti assoldarono guardie giurate per proteggerli.

Fonte: Chicago Sun Times

USA: programmatore di Goldman Sachs colpevole di furto di codice sorgente proprietario

2010-12-14T08:20:00.003+01:00


Il Quartier generale di Goldman Sachs a Manhattan

Ambito: finanza
Tipologia: fuga di informazioni confidenziali

Un ex-programmatore di Goldman Sachs, una delle più importanti banche d'affari del mondo, è stato giudicato colpevole di furto del codice sorgente proprietario della piattaforma di High Frequency Trading della banca.
Sergey Aleynikov ha lavorato per Goldman dal maggio 2007 al giugno 2009, sviluppando applicazioni per supportare la piattaforma di trading dedicata i mercati delle commodity e delle azioni.
Il programmatore lasciò l'azienda per sviluppare una piattaforma dello stesso tipo per Teza Technologies, una start up di Chicago fondata da Mikhail Malyshev, ex-manager di Citadel.
L'accusa ha sostenuto che nel suo ultimo giorno di lavoro, Aleynikov trasferì porzioni sostanziali del codice sorgente proprietario a un server esterno in Germania.
Egli codificò i file, li trasferì via Internet e in seguito cancellò il programma usato per la codifica, cancellando inoltre la history della shell bash della sua postazione Unix.
In aggiunta a questo, il programmatore aveva trasferito migliaia di file sorgenti al suo computer di casa durante i due anni di lavoro presso l'azienda, inviando via mail i file al suo account di posta personale.
La piattaforma di High Frequency Trading fu sviluppata dalla Hull Trading Company, società acquisita dalla banca d'affari nel 1999 per 500 milioni di dollari; ad oggi, la piattaforma permette di generare milioni di dollari di profitto ogni anno.

Fonte: Finextra
Immagine: Wikipedia

Cina: terremoto al vertice di Blizzard China dopo imponente fuga di informazioni

2010-12-14T08:01:00.001+01:00

Ambito: intrattenimento
Tipologia: fuga di informazioni confidenziali

La fuga di informazioni di cui, la scorsa settimana, è stata vittima Blizzard China, la sussidiaria cinese del gigante dei videogiochi, produttore tra gli altri di World of Warcraft e Starcraft, sta portando a movimenti tellurici importanti ai vertici della società.
Informazioni confidenziali importanti ai fini di business, quali dati finanziari, pacchetti media, budget commerciali e la road-map dei prossimi rilasci dei principali giochi, sono state trafugate e, alcune di esse, pubblicate su Internet: nella figura qui sotto, la road map dei rilasci di nuove versioni e nuovi giochi da qui al 2015 (!!).

Non solo viene mostrata la pianificazione completa di nuove versioni di giochi, ma anche il rilascio, nel 2015, di un nuovo gioco, denominato Titan.
Questa fuga di informazioni vitali sta avendo effetti sullo staff di Blizzard China: il direttore generale, Ye Weilun ha già rassegnato le sue dimissioni lasciando il posto a Dai Jinhe, precedentemente direttore vendite di Nokia China.
Al momento, Blizzard ha iniziato un'investigazione interna coordinata dal COO Paul Sams.
Nel mondo dei giochi, informazioni di questo tipo sono fondamentali per la concorrenza: conoscere le finestre di rilascio e i media package offre un vantaggio sostanziale alle aziende concorrenti che possono sia anticipare i tempi di rilascio dei loro giochi, sia ispirarsi alle novità future della Blizzard.

Fonte: BGR

Giappone: più di 14.000 download del documento contenente informazioni sensibili di musulmani

2010-12-13T08:43:00.001+01:00

La sede del Metropolitan Police
Department di Tokyo

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni sensibili

Sono circa 14.000 persone di 26 diverse nazioni ad aver scaricato da Internet un un file della polizia di Tokyo contenente i dati sensibili dimusulmani osservati per scopi di anti-terrorismo.
Per la precisione, il documento è stato scaricato da 13,734 persone in Giappone, 132 in Cina, 95 a Taiwan e 77della Corea del Sud.
L'azienda che ha effettuato l'indagine, NetAgent Co, ha utilizzato tre applicazioni di file-sharing, Winny, Share and Perfect Dark, per determinare quanti utenti hanno scaricato i documenti nel periodo tre la scoperta della fuga e lo scorso lunedì.
Ricordiamo che i documenti comprendevano informazioni investigative su organizzazioni terroristiche: la polizia di Tokyo ha in corso un'indagine per determinare le modalità in cui tale violazione abbia potuto avere luogo.

Fonte: Japan Today

Germania: dipendenti BMW sottraggono componenti per un valore complessivo superiore ai 3 milioni di euro

2010-12-13T08:22:00.000+01:00

Ambito: industria
Tipologia: frode aziendale

Gli agenti del locale comando di polizia hanno arrestato a Monaco di Baviera alcuni dipendenti BMW accusati di aver sottratto componenti ed accessori per un ammontare complessivo superiore a 3 milioni di euro, ricavati attraverso la vendita degli stessi sul mercato nero. Un dipendente del reparto controllo qualità avrebbe etichettato come difettosi numerosi componenti (soprattutto sedili) per portarli clandestinamente fuori dall’impianto, venderli via internet e investire le somme ottenute su conti correnti di banche estere. Durante il blitz effettuato per sgominare i truffatori sono stati rinvenuti loghi BMW, pezzi di ricambio e sedili. Le indagini sono state avviate grazie ad una segnalazione fornita dai vertici dello stabilimento, insospettiti dai numerosi ammanchi.

Fonte: Daily Mail via Auto Blog

USA: PC con informazioni confidenziali NASA in vendita

2010-12-10T08:22:00.000+01:00

Parte del materiale smaltito in modo errato
(immagine tratta dal report della NASA)

Ambito: ricerca
Tipologia: fuga di informazioni confidenziali

Alcuni uffici NASA non hanno messo in pratica una procedura di cancellazione sicura dei dati confidenziali presenti sui dischi fissi prima di renderli disponibili al pubblico.
E' quanto si afferma in un rapporto dell'Ispettorato Generale dell'agenzia spaziale americana che ha inoltre precisato che 14 computer dismessi hanno fallito il testi di verifica della distruzione dei dati. Alcuni di questi contenevano informazioni soggette al controllo sulle esportazioni in base all'International Traffic in Arms Regulations.
Il report descrive debolezze nelle policy e nelle procedure di sanificazione IT in grado di mettere a serio rischio informazioni sensibili, in modo da causare un danno alla missione dell'agenzia e violare normative federali.
Gli investigatori hanno individuato:

dei dischi fissi smarriti dai centri di ricerca di Kennedy e Langley: alcuni di essi giacevano in contenitori per i rifiuti accessibili al pubblico;
diversi pallet di computer che contenevano marcature esterne con il numero di protocollo NASA.

Fonte: The Register

Regno Unito: potenziale fuga di dati di membri del Parlamento

2010-12-09T09:14:00.000+01:00

La sede del Parlamento Inglese
(Fonte: Wikipedia)

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

La Independent Parliamentary Standards Authority (IPSA) ha intrapreso un'indagine interna per stabilire le modalità in cui alcuni dettagli personali presenti sul database delle spese dei membri del parlamento sono stati potenzialmente compromessi.
Le note spese sono state rese accessibili per un periodo di 21 ore in seguito a un'attività di manutenzione IT nel luglio 2010, periodo nel quale qualsiasi membro del parlamento e gli impiegati che lavorano per lui ha potuto avere accesso a informazioni quali i dettagli delle spese e del conto in banca, le targhe automobilistiche e i numeri di telefono della residenza.
Secondo Mick Gorrill, Head of Enforcement dell'Information Commissioner’s Office “questo caso evidenzia come ogni attività effettuata su un database debba essere soggetto a rigorosi test di sicurezza prima di essere avviata. I membri del parlamento hanno un ruolo di alto profilo e le informazioni contenute nelle loro note spese possono metterli a rischio di frode e mettere in pericolo la loro sicurezza."

Andrew McDonald, Chief Executive dell'IPSA, ha firmato un impegno secondo il quale
le modifiche agli account degli amministratori di sistema saranno sottoposte a un aidit regolare e le notifiche di una violazione verranno analizzate e comunicate a tutti i membri del parlamento e al loro staff. L'agenzia implementerà inoltre tutte le misure di sicurezza necessarie per proteggere le informazioni personali dei deputati.

Fonte: Office of Inadequate Security

Italia: Telecom, ignorata nel 2003 una denuncia interna su spionaggio

2010-12-07T13:04:00.001+01:00

Ambito: telecomunicazioni
Tipologia: violazione della sicurezza

Si è scoperta in questi giotni una denuncia interna, finora ignorata, che già nel 2003 denunciava l’abuso della “procedura semplificata” per i pagamenti effettuati dalla Security di Telecom Italia.
La denuncia è contenuta, come afferma il quotidiano La Repubblica, nel “rapporto Deloitte”, un analisi di tutte le anomalie riscontrate nella gestione di quegli anni svolta dalla nota società di revisione.
In base a queste risultanzr gli attuali consiglieri di Telecom Italia saranno chiamati a decidere se procedere o no all’azione di responsabilità contro i vecchi vertici.
Secondo le indiscrezioni, il rapporto è diviso in quattro parti. “La più corposa – scrive Repubblica – riguarda le vicende della Security, già in scena al Tribunale di Milano. Oltre a ripercorrere il processo, i consulenti hanno analizzato la società, la sua governance, chi ricopriva le varie funzioni della Security e le procedure con cui si acquistava “sicurezza”. Queste erano sostanzialmente di due tipi, una ordinaria e una semplificata e proprio l’abuso della procedura semplificata sarebbe stata al centro di un audit effettuato già nel 2003 da Maurizio Nobili, ai tempi uno dei revisori aziendali. Un allarme caduto nel vuoto, visto che qui si potevano annidare falle nel sistema.
Di fatto poi la ricompensa delle fatture degli investigatori privati Emanuele Cipriani e Marco Bernardini, tra i protagonisti dei dossieraggi illeciti, è passata proprio attraverso questo canale. La cattiva gestione della sicurezza avrebbe arrecato alla società danni riscontrabili per circa 50 milioni di euro, mentre non sono stati quantificati da Deloitte i danni di immagine e di reputazione”.

Fonte: BlitzQuotidiano

Italia: in Rai si parla finalmente di segnalazioni per la ex-legge 231/01

2010-12-07T10:12:00.002+01:00

Tipologia: analisi e prevenzione
Ambito: telecomunicazioni

Due giornali, l'Unità e il Giornale, entrambi impegnati politicamente, sebbene su fronti opposti, hanno pubblicato la notizia dell'istituzione, da parte della Rai, di una metodologia per la segnalazione all’Organismo di Vigilanza, di notizie di ipotesi di reato e di osservazioni e suggerimenti riguardanti il funzionamento e le violazioni delle procedure “231”.
Il richiamo è naturalmente all'ex-D.Lgs 231/2001 (qui il testo aggiornato con le modifiche del 2007), una norma nata per estendere alle persone giuridiche (e quindi alle società) la responsabilità penale di un reato commesso da una persona fisica e dunque accusare anche l’azienda di non aver vigilato su un suo dirigente o dipendente.
La legge impone alle società l'obbligo di dotarsi di «modelli organizzativi» che blocchino o mitighino la possibilità per un dipendente di commettere un reato, come la truffa ai danni dello Stato o di un ente pubblico, le false comunicazioni sociali, l'aggiotaggio, le frodi informatiche, la corruzione, la concussione e tutti i reati contro la persona.
Gli articoli delle due testate interpretano la notizia come una palese manifestazione del clima da "caccia alle streghe" che si è venuto a creare recentemente in Rai.
Non voglio qui affrontare una discussione politico/organizzativa in merito alle questioni interne Rai, ai dissidi tra la direzione generale di Masi e i giornalisti, quanto invece sottolineare che le segnalazioni anonime all'Organismo di Vigilanza Rai, sono previste e obbligate dalla ex-legge 231 e che avrebbero dovuto essere implementate ben prima di questa data.
L'art. 6, comma secondo, pt. d) del d.lgs. 231/2001 prevede che il modello organizzativo di cui l'azienda deve dotarsi, per essere efficace deve, tra i vari elementi, prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli.
L'obbligo di informazione (si parla di obbligo, beninteso, e non di "facoltà") stabilito dal D.Lgs. 231/01 è stato concepito come ulteriore strumento per agevolare l’attività di vigilanza sull’efficacia del Modello e di accertamento a posteriori delle cause che hanno reso possibile il verificarsi del reato.
Questo obbligo riguarda sia le funzioni aziendali a rischio (tenute a segnalare "le risultanze periodiche dell’attività di controllo dalle stesse posta in essere per dare attuazione ai modelli" e "le anomalie o atipicità riscontrate nell’ambito delle informazioni disponibili"), sia i "dipendenti che vengano in possesso di notizie relative alla commissione dei reati in specie all’interno dell’ente o a “pratiche” non in linea con le norme di comportamento che l’ente è tenuto ad emanare [...] nell’ambito del Modello disegnato dal D. Lgs. n. 231/2001". [1]
Con riferimento alla seconda tipologia (quella dei dipendenti), nulla vieta né nulla può impedire che alcune di queste segnalazioni avvengano in forma anonima; cioè che è importante, è che -citando sempre Confindustria- "all’Organismo non incombe un obbligo di agire ogni qualvolta vi sia una segnalazione, essendo rimesso alla sua discrezionalità e responsabilità di stabilire in quali casi attivarsi", in quanto "le informazioni fornite all’organismo di vigilanza mirano a consentirgli di migliorare le proprie attività di pianificazione dei controlli e non, invece, ad imporgli attività di verifica puntuale e sistematica di tutti i fenomeni rappresentati."

Già nel 2006, nel documento di Bilancio Civilistico della Rai, si affermava:

Nel corso dell’anno abbiamo incontrato anche i componenti dell’Organismo di Vigilanza previsto dal D. Lgs. 231/2001 - istituito in forma collegiale nell’ottobre 2005 - per ottenere informazioni circa lo stato di introduzione in azienda delle disposizioni previste dal sopra richiamato D. Lgs. in merito alla responsabilità amministrativa delle società.
Il Collegio nell’incontro con i membri dell’Organismo di Vigilanza – nel prendere atto dei progressi raggiunti - non ha mancato di richiamare l’attenzione sulla necessità di completare definitivamente l’introduzione di tutte le disposizioni normative per consentire l’avvio sistematico dell’attività dell’Organismo di Vigilanza e di far sì che gli stessi provvedimenti siano, tempestivamente, estesi a tutte le società del Gruppo.

Tutte le aziende devono conformarsi a questa normativa, anche la Rai, che secondo i due giornali citati qui sopra l'ha fatto con qualche anno di ritardo; quelle che ancora non l'hanno fatto, potrebbero essere passibili di sanzioni amministrative.
Diventa chiaro, quindi, come il desiderio di creare una notizia seguendo un onda mediatica, che vede la Rai protagonista da tempo a causa delle sue vicende interne, cerca di distogliere l'occhio dell'opinione pubblica dal reale nocciolo del problema, ovvero, la mancanza di meccanismi di controllo efficienti che, seppur stabiliti da una legge di quasi 10 anni fa, nella maggior parte delle aziende italiane ancora non sono stati implementati.

Fonti:
Il giornale:La Rai apre l’ufficio «spie» per scoprire truffe e corruzione
L'Unità: Rai, quell’invito in busta paga «Denunciate, sarete anonimi»
Blog Compliance Aziendale

[1] Confindustria, Linee Guida per la costruzione dei Modelli di organizzazione, gestione e controllo ex D.Lgs. 231/01, Approvate il 7 marzo 2002 e aggiornate al 24 maggio 2004, cap. III, par. 3.

Germania: migliaia di clienti H&M potenziali vittima di frode

2010-12-07T08:44:00.002+01:00

Ambito: commercio
Tipologia: fuga di informazioni personali

In Germania, l'azienda di abbigliamento H & M ha dato avviso ai suoi clienti di una campagna fraudolenta via telefono e SMS attualmente in corso e che si sta focalizzando sui clienti registrati.
Alcuni clienti hanno infatti ricevuto telefonate provenienti da un presunto customer service H&M in cui si sono visti offrire un coupon per acquisti nei negozi della catena di abbigliamento.
H&M ha negato, sul suo sito web, il suo coinvolgimento nell'iniziativa che sembra avere come fine la raccolta di dati personali di ignari clienti.
L'azienda ha inoltre precisato di stare investigando sulla fuga di informazioni ed ha inoltrato una querela per uso diffamatorio del proprio brand.

Fonte: H&M

USA: informazioni confidenziali della polizia pubblicate online

2010-12-06T07:16:00.001+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni confidenziali

Nomi di informatori della polizia, indirizzi delle abitazioni degli sceriffi con i dettagli delle loro famiglie, email riguardanti vittime di crimini e investigazioni: queste sono alcune tipologie di dati presenti tra le migliaia di informazioni pubblicate online per sette mesi sul sito Web della contea di Mesa, in Colorado.
Lo sceriffo Stan Hilkeye gli amministratori della contea stanno facendo di tutto ora per avvisare circa 200.000 persone della pubblicazione dei loro dati online e di una loro potenziale compromissione.
La violazione di sicurezza ha riguardato i nomi di persone raccolti in 20 anni di lavoro dalle forze dell'ordine.
Secondo le autorità, la fuga di informazioni è stata causata da un dipendente del dipartimento IT lo scorso aprile quando ha accidentalmente caricato le informazioni su quello che credeva fosse un server criptato.
Il dipendente stava lavorando a un progetto di integrazioni di database tra i dipartimenti delle forze dell'ordine della Grand Valley.
Le autorità hanno appreso che qualcuno non appartenente all'amministrazione della contea aveva avuto accesso ai dati lo scorso 30 ottobre. Il sito è stato bloccato poi il 24 novembre, quando un cittadino ha trovato il suo nome presente in un file mentre effettuava una ricerca su internet.

Fonte: Denver Post via DataLoss DB

Italia: chiamare le hotline dal telefono aziendale è peculato

2010-12-05T08:15:00.001+01:00

Ambito: generale
Tipologia: frode aziendale

Un dipendente di un impresa di vigilanza privata è stato recentemente condannato per peculato dal Tribunale di Matera per aver chiamato le linee erotiche dal telefono dell’azienda presso cui è stato incaricato di svolgere il suo servizio dall’istituto di vigilanza.
La guardia giurata ha infatti tradito la consegna ricevuta, che consiste nel salvaguardare il patrimonio dell’azienda.
I giudici non hanno avuto dubbi sulla colpevolezza dell’imputato, che è emersa dall’incrocio fra i tabulati telefonici e i fogli presenza: le chiamate alle hot line si verificavano mentre il vigilante risultava in servizio e cessavano quando il lavoratore era in ferie o permesso. L’azienda è si è vista recapitare bollette telefoniche per circa 21.500 euro in cinque mesi per quasi tremila telefonate a hotline.
Nonostante la difesa avesse propugnato la fattispecie meno grave di appropriazione indebita aggravata, il reato di peculato è stato contestato in quanto il dipendente dell’istituto di vigilanza è pur sempre chiamato a difendere i beni dell’azienda. Il vigilante è stato quindi condannato a due anni e mezzo di reclusione.
I giudici hanno ritenuto irrilevante il fatto che il responsabile delle chiamate alle linee erotiche dal telefono d’ufficio abbia rimborsato l’ente di appartenenza: il “ravvedimento”, purtroppo, non è servito a cancellare il reato.

Fonte: La Stampa

Liechtenstein: indagine sui vertici della LGT per frode a causa di fuga di dati

2010-12-03T10:23:00.001+01:00

Ambito: finanza
Tipologia: fuga di informazioni confidenziali
Tipologia: fuga di informazioni personali

Quando nascondere la polvere sotto il tappeto non è la soluzione migliore per condurre il proprio business...
In Liechtenstein, come anche in Svizzera, il segreto bancario è una delle pietre fondanti del sistema finanziario del paese e, come tale, è stato inserito addirittura in un articolo della costituzione.
La sua violazione costituisce, quindi, un reato penale punibile con sanzioni e reclusione per i responsabili.
Helmut Schwärzler, avvocato di un ex-cliente della LGT, ha depositato a fine novembre un'accusa di frode nei confronti dei vertici della banca per violazione del rapporto di fiducia tra banca e cliente
La banca era infatti a conoscenza, sin dal gennaio 2003, che il suo dipendente Heinrich Kieber aveva sottratto dati sensibili dei clienti: l'istituto aveva però deciso di non darne informazione ai suoi clienti.
Solo nel febbraio 2008 venne data comunicazione a 700 clienti della fuga di informazioni.
Kieber, che aveva sottratto i dati nel 2002, tentò di ricattare la casa reale, proprietaria della banca, ma fu catturato e condannato a 3 anni di reclusione. Nel gennaio del 2004 il materiale sottratto fece ritorno alla LGT.
L'avvocato Schwärzler ha affermato che se il suo cliente fosse stato portato a conoscenza della fuga di dati, avrebbe rescisso immediatamente il contratto con la LGT, ritirando il suo denaro. Invece, la LGT, ha continuato il suo lavoro di gestione accumulando commissioni per un controvalore di 55.000 franchi svizzeri, per un'attività che era però stata privata di uno dei suoi presupposti fondamentali: la segretezza.
E' ipotizzabile che a seguito di questa denuncia, anche altri ex-clienti della banca facciano lo stesso. L'istituto del principato non avrà consistenti ripercussioni in termini finanziari, ma dal punto di vista della reputazione gli effetti si faranno probabilmente sentire in modo consistente.

Fonte: Financial Times Deutscheland

USA: pile di documenti sensibili trovati abbandonati

2010-12-03T09:01:00.005+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni sensibili

Una pila di documenti contenenti dati sensibili di cittadini dello stato americano di Washington sono stati rinvenuti nei pressi di un edificio della pubblica amministrazione a Tacoma, in un'area, adiacente all'edificio e aperta a chiunque, dove vengono depositati i rifiuti da riciclare.
La maggior parte dei documenti provenivano dal Dipartimento del Lavoro e dell'Industria e contenevano dati quali nomi, Social Security number, dichiarazioni dello stato di salute e di malattia, copie di rendiconti di pagamenti con dettagli di numeri di conto.
Herb Reeves, l'Office Manager, una volta interpellato sulla presenza di tali documenti alla portata di tutti si è mostrato sorpreso in quanto, ha affermato, le policy interne prevedono che documenti di questo tipo vengano distrutti.
Altri organismi coinvolti nella mancata distruzione dei documenti sono la Washington State Employees Credit Union e la Corte di Appello, che come nel caso del Dipartimento del Lavoro, hanno policy che impongono la distruzione di documenti sensibili.
Tutti gli organismi coinvolti hanno avviato investigazioni interne per capire le motivazioni dell'accaduto e per rivedere le procedure di smaltimento di documenti confidenziali.

Fonte: KomoNews via DataLossDB

Italia: arrestato direttore delle Poste che sottraeva fondi dei clienti

2010-12-02T09:16:00.009+01:00

Ambito: finanza
Tipologia: frode aziendale

Il direttore dell’ufficio postale di Romana (Sassari) è stato arrestato con l’accusa di aver sottratto circa 60 mila euro dai libretti postali di ignari clienti, la maggior parte anziani, che si fidavano di lui. Vistosi scoperto, alcuni mesi fa l’uomo aveva provato a rimediare agli ammanchi attingendo dalla casa contanti dell’ ufficio Postale, ma ha peggiorato la situazione perché nei suoi confronti era già in corso un’inchiesta dei carabinieri e una interna delle Poste Italiane.
Giovanni Antonio Falchi, di 58 anni, di Banari, direttore nella filiale di Romana dal 2000 all’estate di quest’anno, è finito in manette in esecuzione di un’ordinanza di custodia cautelare firmata dal giudice delle indagini preliminari del Tribunale di Sassari, rinchiuso nel carcere sassarese ”San Sebastiano”, deve rispondere di peculato, falsità materiale commessa da pubblico ufficiale e violazione della pubblica custodia delle cose.
Dopo l’arresto nei suoi confronti è partita la procedura di sospensione del servizio da parte di Poste Italiane.

Fonte: Blitz

Germania/Liechtenstein: i dati trafugati in banca possono essere usati in giudizio

2010-12-02T08:08:00.000+01:00

Ambito: finanza
Tipologia: fuga di informazioni sensibili

La Corte Costituzionale tedesca ha stabilito con una sentenza che i dati trafugati a una banca del Liechtenstein potranno essere utilizzati dalle autorità per autorizzare la perquisizione di abitazioni e uffici di potenziali evasori fiscali.
Negli ultimi anni le autorità tedesche sono venute in possesso di vari CD contenenti i dati sensibili di persone che hanno depositato del denaro in banche svizzere o del principato del Liechtenstein, scatenando accese discussioni sulla legalità o meno di utilizzare tali dati per le investigazioni.
I dati hanno portato un interessante giovamento alle casse dello stato tedesco: migliaia di potenziali evasori sono stati interrogati dalle autorità.
Uno di essi era l'ex-CEO di Deutsche Post AG, Klaus Zumwinke, che è stato condannato nel 2009 a due anni con la condizionale e al pagamento di un milione di €.

Fonte: Bloomberg BusinessWeek

USA: impiegato di azienda di prestiti colpevole di furto di identità

2010-12-01T06:08:00.000+01:00

Ambito: finanza
Tipologia: fuga di informazioni personali

Brett Howard, un ex impiegato della HomeQuest Mortgage Network, azienda specializzata nell'erogazione dei mutui, è stato trovato colpevole di furto di identità aggravato per aver utilizzato numeri di carte di credito dei clienti dell'azienda.
Howard, 22 anni, potrebbe essere condannato a una pena detentiva di due anni e a restituire 15.996 dollari per aver acquistato beni, tra cui un computer Apple, dei vestiti, delle scarpe e del cioccolato (!!).

Fonte: Courier Journal

Regno Unito: dipendente di T-Mobile sottrae informazioni dei clienti. Condannato

2010-11-30T07:50:00.001+01:00

Ambito: telecomunicazioni
Tipologia: fuga di informazioni personali

Un ex-dipendente di T-Mobile UK, Darren Hames, è stato riconosciuto colpevole di sottrazione di informazioni confidenziali e della successiva rivendita a un'azienda concorrente.
Gli investigatori dell'Information Commissioner's Office (ICO) inglese sono stati chiamati dal fornitore di servizi di telecomunicazioni poiché era stato riscontrato che dei dipendenti avevano venduto dati di diverse migliaia di abbonati ai servizi cellulari: tra questi dati compariva anche la data di scadenza del contratto.
La società concorrente ha utilizzato le informazioni per chiamare i clienti di T-Mobile qualche giorno prima della scadenza del contratto per indurli a cambiare fornitore.
La condanna di Hames è la seconda relativa a questo caso: un sue complice è stato condannato nei primi mesi del 2010.

Fonte: Cellular News
Immagine: Wikipedia

Giappone: pubblicato il documento dell'antiterrorismo sottratto alla Polizia di Tokyo

2010-11-29T07:50:00.001+01:00

La sede del Metropolitan Police
Department di Tokyo

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni confidenziali

Una casa editrice di Tokyo ha pubblicato un libro contenente documenti della polizia di Tokyo e riguardanti tematiche di antiterrorismo che erano stati divulgati nel mese di ottobre. (anche rischioblog ne ha parlato in questo articolo).
Il libro di 469 pagine contiene, tra le altre cose, anche informazioni personali di islamici residenti in Giappone.

Akira Kitagawa, presidente di Dai-San Shokan, la casa editrice, ha deciso per la pubblicazione per dimostrare la scarsità di controlli interni della polizia.
Il documento pare infatti che sia stato divulgato attraverso software di file-sharing lo scorso 28 ottobre.
La polizia di Tokyo sta ancora investigando sull'accaduto e non ha ancora ammesso ufficialmente che la fuga di informazioni abbia effettivamente abuto luogo, per cui non è possibile sospendere la pubblicazione del libro, così come è stato chiesto da una delle persone i cui dati sono stati pubblicati.
Ricordiamo che i documenti pubblicati contengono nomi e foto di residenti stranieri monitorati dalla Divisione per gli Affari Esteri della polizia di Tokyo, i nomi di chi ha cooperato con la polizia e le foto e gli indirizzi dei poliziotti coinvolti nelle investigazioni antiterrorismo.

Fonte: The Yomiuri Shimbun

Regno Unito: prime sanzioni per violazioni del Data Protection Act

2010-11-25T09:22:00.000+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

L'Information Commissioner Officer ha comminato ieri le prime sanzioni pecuniarie a causa di gravi violazioni del Data Protection Act che hanno avuto luogo nel giugno del 2010

La prima delle due, dell'ammontare di 100.000 sterline, è stata comminata allo Hertfordshire County Council a causa di due gravi incidenti che hanno visti protagonisti dipendenti che hanno inviato informazioni personali a destinatari errati. Gli incidenti riguardavano entrambi un caso di abusi sessuali su minori: nel primo caso, è stato trasmesso un fax a un numero errato anzichè all'avvocato di una delle parti coinvolte, mentre nel secondo caso, il fax conteneva informazioni relative sia alle vittime, sia a due sospettati, sia ai pareri dei medici. Il destinatario doveva essere la corte della contea di Watford, mentre il documento è stato inviato a uno studio di avvocati non coinvolti nel caso.
L'ICO ha motivato la sanzione affermando che non è stata posta una cura adeguata nell'impedire che le violazioni avessero avuto luogo, con l'aggravante che dopo il primo caso, l'Hertfordshire County Councilnon ha intrapreso azioni corrette per impedire che un simile incidente avesse ancora luogo.

La seconda multa, del controvalore di 60.000 sterline, è stata comminata alla società A4e per la perdita di un pc portatile non crittografato che conteneva informazioni personali di 24.000 persone che avevano utilizzato i servizi dei centri legali della contea di Hull e Leicester.Il laptop conteneva informazioni sensibili personali di 24.000 persone ed è stato trafugato dall'abitazione di un dipendente.
La sanzione è stata motivata dalla poca cura che l'azienda ha posto nel proteggere le informazioni sul pc del dipendente, nonostante fosse a consocenza della quantità e del tipo di dati in esso conservati.

Fonte: Office of Inadequate Security

USA/Svizzera: UBS perde 10 milioni di euro in commissioni a causa di un'email

2010-11-24T10:33:00.001+01:00

Ambito: finanza
Tipologia: fuga di informazioni confidenziali

General Motors ha escluso UBS dal gruppo dei sottoscrittori iniziali della sua IPO a causa di una email non autorizzata inviata da un dipendente della banca svizzera.
UBS, elencata come sottoscrittore lo scorso 29 ottobre, non è poi apparsa nella lista finale.

Secondo Reuters, un analista di UBS avrebbe inviato una email a 100 destinatari illustrando la valutazione delle azioni dell'azienda automobilistica la notte prima che la società definisse i termini della sua IPO del valore di 13 miliardi di dollari: tale email è stata inviata a una serie di indirizzi errati portando UBS a contravvenire alle regole della SEC sulla non divulgazione di informazioni relative alle IPO.
GM ha anche affermato, per dovere di cronaca, di non aver avuto alcuna responsabilità circa i contenuti della email, che non aveva avuto alcuna conoscenza dell'invio della email prima che fosse stata inviata e, naturalmente, che il messaggio non corrispondeva in alcun modo con la visione della società.
I principali sottoscrittori dell'IPO sono stati Morgan Stanley, JPMorgan, Bank of America Merrill Lynch e Citigroup.

Nota: da quanto è emerso, pare che sia stata GM a divulgare la fuga di informazioni, ed è quindi lecito supporre che UBS non ne abbia saputo nulla fino a che una terza parte non ha contattato GM. Questo naturalmente rimane nell'ambito delle supposizioni.
E' comunque probabile che tutti noi abbiamo commesso, in qualche momento della nostra vita, l'errore di inviare una email a un destinatario sbagliato, lasciando che l'opzione di auto-riempimento del campo indirizzo ci facilitasse la vita, o scegliendo una lista di distribuzione errata.
Il capro espiatorio ora è l'analista UBS, che, secondo alcune voci, sarebbe stato licenziato. Ma in questi casi non è possibile indicare un unico responsabile, perchè è più opportuno chiamare in causa il "concorso di colpa".
E' assolutamente vero che un controllore dell'azienda non può essere presente al momento in cui il dipendente preme il tasto INVIO sulla tastiera, e quindi non è possibile controllare al 100% le azioni della componente più fallibile di tutta la catena operativa.
Ma è altresì vero che un'informazione fondamentale come quella di cui stiamo parlando, che si trascina una provvigione di 10 milioni di dollari, deve essere classificata in modo adeguato e chi la maneggia deve essere edotto in modo puntuale sul suo trattamento, in ogni momento del ciclo di vita di questa informazione.
Oltre alle policy, esistono anche strumenti tecnologici per analizzare il contenuto delle email e per impedire al materiale classificato di lasciare l'azienda: non sempre questi strumenti sono funzionali (è più semplice, ad esempio, definire un documento come segreto, o un insieme di contenuti come confidenziali e bloccarne l'invio. La tematica è molto ampia e necessita di altrettanto ampie dissertazioni.), ma di sicuro anche gli strumenti (sottolineo ANCHE) possono fare il loro dovere.

UBS non ha perso solo un deal da 10 milioni di dollari, ma ha compromesso la sua reputazione in questo ambito: alla prossima IPO dovrà lavorare molto duramente per dimostrare di non poter ripetere l'errore già commesso.

Immagine: copyright UBS 2006

USA: lo stato della California sanziona 7 strutture per accesso non autorizzato a dati dei pazienti

2010-11-22T08:03:00.000+01:00

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni personali

Il Dipartimento di Salute Pubblica della California ha annunciato di aver comminato sanzioni per un totale di 792.500 $ a 6 ospedali e una clinica che non sono stati in grado di prevenire accessi non autorizzati a informazioni personali dei pazienti.

Ecco l'elenco delle strutture con le relative motivazioni:

1. Biggs Gridley Memorial Hospital, Gridley, Butte County: sanzione di 5.000 $ per non aver impedito a due dipendenti l'accesso non autorizzato a informazioni dei pazienti in tre occasioni diverse;

2. Children’s Hospital of Orange, Orange, Orange County: sanzione di 25.000 $ per non aver impedito a un dipendente di accedere a informazioni dei pazienti in modo non autorizzato;

3. Delano Regional Medical Center, Delano, Kern County: sanzione di 60.000 $ per non aver impedito a un dipendente di accedere a informazioni dei pazienti in modo non autorizzato e di divulgarle in tre diverse occasioni;

4. Kaweah Manor Convalescent Hospital, Visalia, Tulare County: sanzione di 125.000 $ per non aver impedito l'accesso e l'utilizzo di informazioni dei pazienti in modo non autorizzato da parte di un dipendente;

5. Kern Medical Center, Bakersfield, Kern County: sanzione di 60.000 $ per non aver impedito l'accesso e l'utilizzo di informazioni dei pazienti in modo non autorizzato da parte di due dipendenti in tre diverse occasioni;

6. Kern Medical Center, Bakersfield, Kern County: sanzione di 250.000 $ per non aver impedito il furto delle informazioni mediche di 596 pazienti;

7. Oroville Hospital, Oroville, Butte County: sanzione di 42.500 $ per non aver impedito l'accesso e l'la divulgazione di informazioni di un paziente in modo non autorizzato da parte di un dipendente in due diverse occasioni;

8. Pacific Hospital of Long Beach, Long Beach, Los Angeles County: sanzione di 225.000 $ per non aver impedito l'accesso e l'la divulgazione di informazioni di nove paziente in modo non autorizzato da parte di un dipendente.

Il Dipartimento di Salute Pubblica della California ha comminato queste sanzioni secondo una nuova norma intesa a proteggere la confidenzialità delle informazioni mediche: queste strutture hanno infatti contravvenuto alla Sezione 1280.15 del Health and Safety Code, che stabilisce una multa massima di 25.000 $per ogni violazione delle informazioni mediche di un paziente.
Oltre alla sanzione, il Dipartimento richiede che le strutture predispongano un piano di correzione di incidenti futuri entro 10 giorni

Fonte: PHPrivacy.net

Canada: vulnerabilità di sicurezza nell'amministrazione della Nova Scotia

2010-11-19T11:38:00.000+01:00

Ambito: amministrazione pubblica
Tipologia: analisi e prevenzione

Una recente analisi condotta dal dipartimento Audit dello stato della Nova Scotia, in Canada, ha rilevato numerose falle di sicurezza che potrebbero mettere a serio rischio informazioni personali e di business.
Jacques Lapoint, il direttore dell'audit, ha affermato di aver individuato problemi nel modo in cui le password vengono controllare, gli account sui computer sono configurati e come vengono effettuate le modifiche di sicurezza,elementi che mettono a serio rischio le informazioni di vari registri da parte dello staff dei dipartimenti e dei consulenti: le configurazioni di sicurezza dei sistemi IT che supportano tre dei quattro registri non sono sufficienti a prevenire accessi non autorizzati.
Negli ultimi anni si sono infatti verificati almeno due casi di violazione della sicurezza dei sistemi.
Lapoint ha poi precisato che non sono necessari investimenti per porre rimedio alla maggior parte dei problemi individuati, poichè basta implementare caratteristiche già presenti nei sistemi operativi e nelle applicazioni esistenti.

Fonte: Metronews via Office of Inadequate Security

Germania: rapina a portavalori. Colpa di un insider?

2010-11-19T07:36:00.000+01:00

Ambito: commercio
Tipologia: fuga di informazioni confidenziali

Una spettacolare rapina avvenuta a Ludwigsburg ai danni di un furgone che trasportava oro è stata probabilmente avvenuta a causa delle informazioni rivelate da un dipendente dell'azienda portavalori.
Secondo quanto dichiarato dall'autista del furgone, fino a 7 impiegati dell'azienda conoscevano il percorso del trasporto.
Circa un anno fa, nel dicembre del 2009, cinque uomini travestiti da poliziotti hanno fermato il furgone portavalori fuggendo con 120 kg d'oro per un controvalore totale di 1,7 milioni di €.

Fonte: nordbayern.de

USA: class action contro AvMed per divulgazione di dati personali

2010-11-18T08:31:00.000+01:00

Ambito: assistenza sanitaria/healthcare

Tipologia: fuga di informazioni personali

Una class action è stata attivata contro la AvMed Health Plans da parte di 1 milione e duecentomila persone i cui dati erano presenti su due laptop andati smarriti dagli uffici di Gainesville della compagnia assicuratrice, sebbene non siano ancora stati segnalati casi di furto di identità e sebbene uno dei computer fu ritrovato quasi subito.
La causa intentata dai clienti della AvMed contesta alla società la violazione delle norme federali sulla privacy nonché che la protezione dei clienti in essere non rende sicuri i computer e non codifica i dati da essi conservati, dati che riguardavano nomi, indirizzi, date di nascita, Social Security Number e informazioni sulle cure mediche.
Nonostante AvMed abbia sottoscritto un contratto di due anni di protezioni di identità per tutti i clienti coinvolti e che affermi di lavorare per rafforzare le proprie procedure di sicurezza, gli avvocati della controparte affermano che la società non può essere considerata affidabile e che due anni di protezione non sono sufficienti, poiché, sempre secondo gli avvocati, chi viene in possesso di dati di identità altrui può attendere anche alcuni anni prima di farne uso.

I due computer sparirono da una sala conferenze l'11 dicembre 2009: AvMed attese il febbraio 2010 per notificare i primi 360.000 clienti del problema allo scopo di evitare di ostacolare le indagini e per sottoscrivere il servizio di protezione delle identità. Altri 860.000 clienti ricevettero la notifica nel giugno 2010.

Fonte: Gainesville.com

USA: poliziotto accusato di accesso illecito a Database

2010-11-17T08:19:00.001+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni confidenziali

Un poliziotto del distretto di Los Angeles, Gabriel Morales, ha rassegnato le sue dimissioni ammettendo di aver illegalmente avuto accesso a un computer della polizia su richiesta di Matthew Turner, un membro di una gang recentemente condannato per omicidio.
Il poliziotto stava ricercando informazioni su due testimoni chiave del processo contro il membro della gang, la cui sorella era stata precedentemente frequentata dal poliziotto.
Il database a cui ha avuto accesso Morales contiene svariate informazioni personali, tra cui anche l'indirizzo di domicilio.
L'investigazione su Morales è partita grazie all'ascolto delle telefonate condotte da Turner ai suoi famigliari: in una di queste, Turner chiedeva che Morales trovasse le identità di due testimoni chiave in modo da poterli rendere individuare.

Fonte: Los Angeles Times
Immagine. Wikipedia

Italia: catturato bancario che aveva sottratto 6 milioni di euro

2010-11-16T09:34:00.000+01:00

Ambito: finanza
Tipologia: frode aziendale

Fabrizio Ingemi, il bancario siciliano dileguatosi lo scorso febbraio dopo la scoperta di un buco dalle casse dello sportello Carige di Capo d’Orlando, è stato arrestato a Siracusa nei giorni scorsi.
Ingemi è stato trasferito presso il carcere di Gazzi a Messina perchè sul suo capo pende un mandato di arresto per furto e furto aggravato.
Del bancario trentasettenne non si avevano più notizie dallo scorso 26 febbraio, quando era stato convocato a Palermo dalla sede regionale dell’istituto per un problema legato alla gestione della sua attività professionale. Dalle casse dello sportello Carige di Capo d’Orlando era risultato un ammanco di svariati milioni di euro.

Secondo una stima scaturita dal gran numero di denunce presentate dalle vittime della frode, circa un centinaio, la somma sottratta dai conti della Carige da Fabrizio Ingemi ammonterebbe a 5 milioni e 700 mila euro: gli ammanchi a lui attribuiti a vari conti correnti variano dai 10 mila ai 450 mila euro.
Ad incastrarlo, il 24 febbraio scorso, le insistenze di un cliente che voleva capire perchè dal suo estratto conto risultasse il prelievo di una somma rilevante da lui mai effettuato.
Da qui l'avvio di un'inchiesta interna da parte dei vertici della Carige e la convocazione di Ingemi a Palermo per un incontro con gli ispettori dell'istituto di credito.
A seguire la denuncia alla polizia e la fuga dell'indagato, che avvenne però dopo che lo stesso, messo alle strette, aveva confessato sottrazioni varie, relative anche ad altri conti correnti, e le modalità attraverso le quali questi avvenivano: modifica degli indirizzi dei clienti per ricevere direttamente in banca i loro estratti conto, quindi l'alterazione dei dati.

Fonte: 98percento e BlogSicilia

Moldavia: sei dipendenti di banca coinvolti in riciclaggio di denaro

2010-11-16T07:59:00.003+01:00

Ambito: finanza
Tipologia: fuga di informazioni sensibili

Sei dipendendi di banca diventati corrieri di denaro sono stati arrestati in Modavia: secondo gli investigatori, i sei sono accusati di riciclaggio di denaro attraverso pagamenti ricevuti via Western Union e MoneyGram da complici nell'Europa Occidentale che a loro volta avevano ricevuto denaro trafugato con codici carpiti attraverso l'impiego del trojan Zeus.
L'arresto segue di alcune settimane l'operazione contro altri appartenenti a una rete criminale che utilizzava sempre il trojan per rubare i codici di accesso sl servizio.
La polizia sta ancora cercando un funzionario del governo che avrebbe fornito al gruppi le copie delle ID Carts utilizzate per aprire poi i conti corrent,

Fonte: The Register

USA: sabotaggio da parte di direttore IT licenziato

2010-11-15T09:24:00.000+01:00

Tipologia: violazione della sicurezza
Ambito: telecomunicazioni

Darnell H Albert-El, di Richmond, Virginia, nel 2008 perse il suo lavoro di responsabile IT presso la Transmarx, azienda nel commercio di apparecchiature di telecomunicazione. A causa di questo, a un mese dalla cessazione del rapporto di lavoro, decise di prendersi una rivincita sulla società collegandosi con le sue credenziali di amministratore, che ancora non gli erano state revocate, e cancellando circa 1000 file.
Fortunatamente le informazioni erano state salvate in un backup, quindi il danno provocato fu di minima entità.
Albert-El è stato condannato a 27 mesi di prigione e a rifondere l'azienda per 6.700 $

Fonte: The Register

Italia: ex direttore di filiale di Banca Sella accusato di appropriazione indebita

2010-11-12T10:54:00.000+01:00

Ambito: finanza
Tipologia: frode aziendale

E' in corso il processo a carico di F.P., ex direttore della filiale di Banca Sella di Borgo San Dalmazzo, in provincia di Cuneo. L'uomo è accusato di appropriazione indebita per alcuni ammanchi di denaro avvenuti nel corso del 2005, che, una volta individuati, ne hanno portato a un procedimento disciplinare e successivo licenziamento.
Dalle testimonianze riportate, appare che l'ex dipendente abbia effettivamente sottratto del denaro da alcuni conti, denaro che la banca ha restituito ai correntisti che hanno segnalato l'ammanco.
La prossima udienza del processo avrà luogo il 13 dicembre prossimo, giorno in cui verranno ascoltati gli ultimi testimoni, e successivamente verrà fissata l'udienza per la sentenza finale.

Fonte: targatocn.it

USA: divulgati dati personali di dipendenti federali

2010-11-12T10:40:00.000+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

I dipendenti della General Service Administration, l'agenzia federale statunitense per i servizi generali della pubblica amministrazione, sono in allarme per un potenziale furto d'identità che potrebbe avere luogo a seguito dell'invio, da parte di un dipendente, dell'elenco completo dei 12.000 dipendenti associati al proprio Social Security Number a un indirizzo privato.
La comunicazione è stata data ai dipendenti 6 settimane dopo dall'incidente: per ognuno di loro è stato sottoscritto un abbonamento annuale a un servizio di monitoraggio del credito e un'assicurazione di 25.000 dollari contro i furti d'identità.
Secondo quanto afferma il New York Times, i tecnici dell'agenzia hanno scoperto l'invio della mail il 28 settembre, esaminando i log del 22 settembre: pare che l'elenco dei dipendenti sia stato trasmesso per errore e il destinatario del messaggio ha collaborato con i tecnici dell'agenzia per eliminare in modo sicuro i dati.

Nota: questo è un caso dove la fortuna ha giocato a favore delle potenziali vittime e ha permesso un processo di rimedio piuttosto efficiente. Se, infatti, il destinatario del messaggio contenente l'elenco fosse stato non disposto a collaborare o irreperibile, il rischio di furto sarebbe stato molto più elevato.
In questo caso, invece, l'agenzia ha addirittura potuto inviare i suoi tecnici che hanno proceduto alla cancellazione sicura dei dati presenti sul disco del destinatario. Non sappiamo se il messaggio è ancora conservato presso il server di posta del provider, così come non sappiamo che cosa ne sia stato nel periodo precedente alla sua cancellazione.

Fonte: The New York Times

Giappone: video dell'attacco alla guardia costiera divulgato su Internet

2010-11-10T08:15:00.002+01:00

Tipologia: fuga di informazioni confidenziali
Ambito: amministrazione pubblica

Lo scorso 7 settembre si è sfiorato l'incidente internazionale tra Cina e Giappone quando alcuni perscherecci cinesi hanno deliberatamente speronato navi della guardia costiera giapponese al largo delle isole di Senkaku, al centro di una disputa tra le due nazioni asiatiche e Taiwan.
La guardia costiera di Ishigaki ha registrato circa 10 ore di materiale da diverse navi di pattuglia che documentano la presenza dei pescherecci cinesi e gli speronamenti.

L'autorità marittima sta ora investigando sulla fuga di video considerati materiale confidenziale: il team investigativo ha determinato che il materiale è stato prodotto dalla sezione locale e riproduce molte delle parti che sono state successivamente inviate al pubblico ministero di Naha, per cui non è stato ancora determinato se la fuga di dati è da imputare a personale interno alla capitaneria di porto o della procura della città.
Più di 10 CD, infatti, sono stati consegnati nelle mani alla Procura di Naha e il contenuto di uno di essi corrisponde al materiale presente su YouTube.
La guardia costiera conserva, in una cassaforte, i video in vari formati, tra cui nastri e sono comunque molti i militari che possono averne accesso.
Se il colpevole fosse un addetto della guardia costiera potrebbe essere accusato di inosservanza della legge nazionale sui servizi civili per violazione della confidenzialità; nel caso invece si trattasse di una persona estranea al servizio, potrebbe essere arrestato per furto.

I video su YouTube

Fonte: Asahi Shimbun

Giappone: fuga di informazioni confidenziali

2010-11-09T08:02:00.004+01:00

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni confidenziali

A pochi giorni dall'arrivo dei leader di governo degli stati facenti parte dell' Asia-Pacific Economic Cooperation (APEC) che si incontreranno a Yokohama dal 13 novembre prossimo, un incidente di sicuerzza ha sconvolto i piani della polizia giapponese.
Documenti interni della Metropolitan Police Department contenenti informazioni confidenziali sono apparsi su Internet in una rete di file-sharing. molti dei documenti sembrano essere stati prodotti dalla divisione affari esteri della Polizia Metropolitana per investigare e raccogliere informazioni sul terrorismo internazionale.
Questo fatto avrà effetti su tutta la policy della polizia per combattere il terrorismo, poichè, ad esempio, sono stati rivelati nomi e cognomi di stranieri che intrattenevano contatti con la polizia, piani di collaborazione con l'FBI statunitense e nomi di persone sospettate di avere legami con il terrorismo.
Da una prima analisi dei file, pare che i documenti siano stati resi pubblici deliberatamente e che quindi si sia trattato di una divulgazione dall'interno del dipartimento di polizia.

Fonte: Asahi Shimbun

Spagna: modifiche al dispositivo di sicurezza per la visita del Papa causate da fuga di informazioni

2010-11-08T07:33:00.000+01:00

Tipologia: fuga di informazioni confidenziali
Ambito: amministrazione pubblica

La perdita di un dossier contenente informazioni confidenziali riguardanti sulla visita del Papa a Barcellona ha costretto a modifiche del dispositivo di sicurezza.
Un mese fa, un dipendente del ministero dell'Interno ha smarrito un documento contenente i dati su telecamere di sicurezza, dispositivi di inibizione e una lista degli hotel che avrebbero ospitato l'entourage del Sommo Pontefice.
Lo scorso martedì, un residente di Barcellona ha rinvenuto dei documenti calpestati e sparsi sul terreno: dopo averli esaminati li ha consegnati a una stazione radio catalana che ha avvertito la polizia.
Il contenuto dei documenti:

il numero e la collocazione delle telecamere di sicurezza e degli inibitori di frequenza, elemento indicativo del percorso che il Papa avrebbe seguito durante tutta la sua visita;
il procotollo operativo da seguire da parte del centro di sicuerzza operativa, il materiale e il numero di agenti necessari;
gli indirizzi IP, gli utenti e le password per accedere a un sistema per intercettare e analizzare le comunicazioni digitali.

Alcune modifiche al protocollo erano già state attuate durante il mese di ottobre, mentre altre sono state messe in opera successivamente al ritrovamento del documento.

Fonte: El Pais

Google	Google buzz
Yahoo	Del.icio.us
Digg	okno
Linkedin	Stumble upon

rischioblog

Italia: Licenziata, firma la vendetta con la password

Italia: arrestato ex-consulente dei pm di Bari per accesso informatico illecito

Irlanda: assicurazione perde nastro con i dati di 50.000 clienti

Regno Unito: poliziotto del Lancashire sospeso per violazione

Regno Unito: divulgati erroneamente dati lasciati incustoditi

Italia: quando le referenze del candidato evitano i controlli pre-assunzione

USA: dati di carte di credito di membri IEEE potenzialmente compromessi

Australia: le agenzie governative mettono al bando la webmail

Francia: le assicurazione Verspieren corregono una falla

Regno Unito: dati confidenziali inviati per errore via email

Italia: bancario condannato per appropriazione indebita

USA: dipendente di Wachovia Bank condannata per furto di identità

USA: fuga di informazioni coinvolge Bank of America

Francia: potenziale fuga di dati da assicurazione

USA: 12 persone incriminate di cospirazione per frode bancaria

Francia: lo spionaggio industriale alla Renault forse non è spionaggio

Usa: dati sottratti alla più grande banca di cellule staminali del mondo

Germania/Francia: dati di Dassault trovati sulla rete Siemens

Svizzera: dipendente sottrae 22 milioni di franchi a Gategroup

USA: mail sottratte a HBGary rivelano attacco a Morgan Stanley

Svizzera: Furto di dati presso HSBC: conclusa l'inchiesta della FINMA

Italia: economa di Vanzaghello sottraeva soldi al comune

USA: sanzione di 1M di $ per fuga di informazioni sanitarie

Francia: possibile fuga di dati da un sito dell'UMP, il partito di Sarkozy

Cina: dimissioni del CEO di Alibaba causate da troppe frodi

Canada: dipendenti federali inviano informazioni sensibili via BlackBerry

USA: due aziende finanziarie sanzionate per scarsa protezione dei dati

USA: le quotazioni di HBGary Federal in picchiata dopo l'affaire WikiLeaks-Anonymous

USA: Matt Miszewski e i dati confidenziali di Microsoft

USA: più di 6 milioni di americani hanno subito una violazione dei propri dati sanitari

Germania: divulgazione di e-mail tradisce la vera anima del partito di destra NPD

Regno Unito: consulente accusato di negligenza nella conservazione di documenti sensibili

Germania: fuga di informazioni personali in Mind Factory

USA: divulgato documento riguardante attacco a WikiLeaks

USA: ospedale in Iowa licenzia 3 dipendenti per furto di dati sensibili

Svizzera: funzionario di Banca Sella Suisse arrestato per frode

Islanda: spionaggio al Parlamento?

Regno Unito: violata la sicurezza del London Stock Exchange

Italia: rubati i palinsesti RAI

Italia: infermiere recidivo sottraeva beni ai pazienti

USA: dipendente di PHS condannata per frode aziendale

Francia: 1.5 milioni di indirizzi email divulgati dal sito di Sport-Elec

Canada: fuga di dati confidenziali da base militare in Afghanistan

Russia: codice dell'antivirus Kaspersky trafugato da un dipendente

Nuova Zelanda: ex-dipendenti Telecom hanno ancora accesso ai dati aziendali

Canada: dati di 60.000 pazienti sottratti a ospedale

Svizzera: i dati dei clienti di Credit Suisse sono stati rubati da un dipendente

USA: infermiere licenziato per aver spiato le cartelle di Tiger Woods

Italia: dipendente dell'Ausl di Bologna denunciato per frode

Singapore: bancario vende dati confidenziali di clienti

Svizzera: un ex-bancario di Julius Bär vuole pubblicare dati dei clienti su WikiLeaks

Italia: Treviso, truffava l'Usl 9 condannata a undici anni

Italia: un accusa per spionaggio industriale si ritorce contro l'azienda

Francia: spionaggio industriale a la francaise

Svizzera/Italia: lista trafugata all'HSBC - Primi indagati per evasione fiscale

USA: dati personali di 760.000 studenti divulgati su Internet

Francia: Renault vittima di spionaggio industriale

Italia: impiegato sottrae 700mila euro alla Chateau d'Ax

USA: l'esercito ha aperto indagine sul suo ruolo nel caso WikiLeaks

Francia: politico locale arrestato per spionaggio informatico

Francia: rubati computer contenenti dati confidenziali su siti nucleari

Regno Unito: dati sensibili di pazienti su computer trafugato in ospedale

Regno Unito: informazioni sensibili di pensionati trovate su chiave USB

USA: fermati i chiacchieroni dell'ICT

USA: dipendente IT licenziata si vendica cancellando dati

USA: rubati migliaia di Social Security Number da consulente informatico

USA: ex-preside di facoltà viola la sicurezza del sistema informativo universitario

USA: programmatore di Goldman Sachs colpevole di furto di codice sorgente proprietario

Cina: terremoto al vertice di Blizzard China dopo imponente fuga di informazioni

Giappone: più di 14.000 download del documento contenente informazioni sensibili di musulmani

Germania: dipendenti BMW sottraggono componenti per un valore complessivo superiore ai 3 milioni di euro

USA: PC con informazioni confidenziali NASA in vendita

Regno Unito: potenziale fuga di dati di membri del Parlamento

Italia: Telecom, ignorata nel 2003 una denuncia interna su spionaggio

Italia: in Rai si parla finalmente di segnalazioni per la ex-legge 231/01

Germania: migliaia di clienti H&M potenziali vittima di frode

USA: informazioni confidenziali della polizia pubblicate online

Italia: chiamare le hotline dal telefono aziendale è peculato

Ambito: generaleTipologia: frode aziendale

Ambito: generale
Tipologia: frode aziendale