Gli indirizzi email e altre informazioni sensibili di 918 parlamentari britannici, membri del Parlamento Europeo e deputati e senatori francesi sono stati divulgati nei mercati del dark web dove i dati vengono comprati e venduti illegalmente. Nell’ambito della nostra indagine con Constella Intelligence(nuova finestra), abbiamo cercato nel dark web 2.280 indirizzi email ufficiali del governo provenienti dal Parlamento britannico, dal Parlamento Europeo e dal Parlamento francese. Abbiamo trovato che circa il 40% era stato esposto, insieme a password, date di nascita e altro.
I parlamentari britannici hanno fatto peggio, con oltre i due terzi (68%) degli indirizzi email controllati che apparivano nel dark web, seguiti da quasi la metà (44%) degli eurodeputati dell’UE. I deputati e i senatori francesi hanno avuto la migliore sicurezza, con solo il 18% delle email cercate che apparivano negli scambi di hacker.
Il fatto che queste email, disponibili pubblicamente sui siti web governativi, siano nel dark web non è di per sé un fallimento della sicurezza. Neppure è prova di un hack dei parlamenti britannico, europeo o francese. Invece, dimostra che i politici hanno usato i loro indirizzi email ufficiali per registrare account su siti web di terze parti (che sono stati successivamente violati o hanno subito una violazione), mettendo a rischio inutilmente se stessi e le informazioni di cui sono responsabili.
Ancora più preoccupante è che questi indirizzi email sono stati abbinati a 697 password in chiaro. (Proton ha informato ogni politico interessato che avevano dati sensibili esposti su internet prima di pubblicare questo articolo). Se un politico ha riutilizzato una di queste password esposte per proteggere il proprio account email ufficiale, questo potrebbe essere a rischio.
Abbiamo visto il caos che può causare un singolo account email compromesso. Durante le elezioni presidenziali statunitensi del 2016, il capo dello staff di Hillary Clinton è famoso per essere caduto in un attacco di phishing(nuova finestra) e ha avuto le sue email esposte, rivelando messaggi imbarazzanti(nuova finestra) e fornendo materiale per ogni tipo di speculazione(nuova finestra). Immagina il caos che gli attaccanti potrebbero creare se riuscissero ad accedere a una frazione di questi account email ufficiali dei politici.
Molti di questi parlamentari, eurodeputati, deputati e senatori sono in posizioni elevate, tra cui presidenti di commissione, ministri di governo e leader di opposizione senior, e hanno accesso a informazioni altamente sensibili. Ancora peggio, molti di loro attualmente servono o hanno servito in precedenza in commissioni incaricate di supervisionare e far rispettare le strategie digitali nazionali (e internazionali).
Sebbene non pubblichiamo dati identificabili per evitare di mettere a rischio gli individui, possiamo rivelare che la nostra indagine ha mostrato che i politici eletti usano regolarmente le loro email ufficiali per iscriversi a servizi come LinkedIn, Adobe, Dropbox, Dailymotion, siti di petizioni, servizi di notizie e, in un numero ridotto di casi, anche a siti di incontri.
Di seguito, condividiamo i risultati completi della nostra indagine, a cosa potrebbe portare questo atteggiamento lassista nei confronti della cybersecurity e cosa possono fare i politici (e tutti gli altri) per migliorare la loro sicurezza online.
Dati esposti dei politici
Nella nostra indagine, purtroppo abbiamo trovato ogni tipo di informazione sensibile legata alle email dei politici, comprese la loro data di nascita, l’indirizzo delle loro residenze e gli account sui social media. Considerato insieme, queste informazioni forniscono agli attaccanti molteplici dettagli per realizzare attacchi di phishing convincenti.
| Numero di email cercate | Numero di indirizzi email compromessi | Numero di password esposte | Numero di password esposte in chiaro | |
|---|---|---|---|---|
| Parlamento dell’UE | 705 | 309 | 161 | 27 |
| Parlamento britannico | 650 | 443 | 216 | 30 |
| Parlamento francese | 925 | 166 | 320 | 137 |
I politici francesi superano gli altri funzionari eletti
Come già accennato, solo il 18% delle email dei politici francesi che abbiamo cercato sono apparse negli scambi del dark web. Tuttavia, queste violazioni non sono distribuite equamente. Nel Senato francese, 115 dei 348 (33%) indirizzi email dei senatori che abbiamo cercato sono stati esposti, rispetto a solo 51 su 577 (circa il 9%) per i deputati dell’Assemblea Nazionale.
Se un politico francese è stato violato, le sue informazioni sono apparse in media in 7,8 violazioni. Se questo numero sembra alto, è senza dubbio perché la Francia ospita il politico che ha subito il maggior numero di violazioni del proprio indirizzo email (137) e ha avuto il maggior numero di password esposte in chiaro (133).
La Francia è anche sede di un esempio di uno scenario peggiore che diventa realtà. A novembre 2023, i giornalisti hanno scoperto che un attaccante ha rubato il nome utente e la password di un indirizzo email di un membro del Parlamento e ha venduto l’accesso alla loro casella postale ufficiale nel dark web(nuova finestra). Forse l’aspetto più sorprendente di questa storia è che il prezzo richiesto era solo $150 (€138).
Poco più di un mese prima dell’inizio delle Olimpiadi di Parigi, questi risultati evidenziano le preoccupazioni riguardanti le pratiche di cybersecurity dei politici, dove una sola violazione potrebbe rappresentare una seria minaccia alla sicurezza nazionale.
La maggior parte dei politici britannici è stata compromessa
Secondo quanto scoperto, i deputati britannici sono fortunati a non aver subito uno scandalo importante riguardante il takeover degli account, poiché il 68% degli indirizzi email cercati si sono trovati nel dark web, incluse figure senior sia nel governo che nell’opposizione. Gli indirizzi email dei deputati sono stati esposti un totale di 2.110 volte nel dark web, con il deputato più frequentemente preso di mira che ha subito fino a 30 violazioni. Sono anche apparsi ripetutamente, con il deputato medio compromesso che ha visto i propri dati apparire in 4.7 violazioni.
Il Regno Unito è stato più volte preso di mira da attacchi informatici sostenuti dallo stato, anche da parte della Russia. A dicembre 2023, il governo del Regno Unito ha accusato la Russia(nuova finestra) di un “cyberattacco lungo anni” contro accademici, politici e decisori britannici. Ha sostenuto che la FSB della Russia stava tentando di phishingare questi individui per spiarne le email private.
Con le imminenti elezioni generali nel Regno Unito, è fondamentale che i nuovi deputati prendano sul serio la loro cybersecurity personale — e nazionale — e rispettino rigorosi processi e protocolli di sicurezza per gli account ufficiali.
L’UE è anche un obiettivo
Sebbene i membri del Parlamento Europeo abbiano subito meno violazioni rispetto ai loro omologhi britannici, quasi la metà delle email che abbiamo cercato è apparsa nel dark web. Dei 309 eurodeputati esposti, 92 sono stati coinvolti in 10 o più fughe di dati. I politici a Bruxelles hanno visto i loro indirizzi email esposti 2.311 volte, insieme a 161 password in chiaro. Questo è un allerta rossa, poiché il Parlamento europeo è diventato sempre più obiettivo di attacchi sofisticati e ha ammesso di non essere preparato.
Quando Politico(nuova finestra) ha chiesto della sicurezza del Parlamento europeo e delle imminenti elezioni, un anonimo membro dello staff (che ha voluto rimanere anonimo a causa della sensibilità della questione) ha detto: “Ci stiamo presentando con le chiappe scoperte e se qualcuno vuole hackerarci, come qualsiasi attore minaccioso cinese o qualsiasi attore statale, può farlo”.
Le minacce sono reali. A febbraio, due membri e un collaboratore della sottocommissione per la sicurezza e la difesa del Parlamento europeo hanno trovato spyware sui loro smartphone(nuova finestra). E a marzo, è stato rivelato che APT31 (anche noto come Judgment Panda), un gruppo di hacker con legami con le agenzie di intelligence cinesi, era il probabile sospetto dietro un tentato hack di ogni membro dell’Unione Europea(nuova finestra) dell’Alleanza Interparlamentare sulla Cina, una coalizione di legislatori critici nei confronti del governo cinese.
La cybersecurity è sicurezza nazionale
Nella nostra indagine, i politici interessati avevano generalmente i loro dettagli divulgati da fornitori di servizi, come LinkedIn o Adobe. Anche se un takeover ostile di uno di questi account non darà accesso a un attaccante (o a un governo straniero) ai segreti di stato, potrebbe rivelare le comunicazioni private di quel politico o altri dati sensibili. Gli attaccanti potrebbero quindi utilizzare queste informazioni per phishingare o ricattare i politicanti.
E questo è il miglior scenario possibile. Se un politico violato ha riutilizzato una password che è stata esposta nel dark web su uno dei loro account ufficiali (e non ha usato l’autenticazione a due fattori), potrebbe permettere agli attaccanti di entrare nei sistemi governativi.
Sfortunatamente, basta un errore per mettere a rischio le proprie informazioni online. E per un governo, basta un set di credenziali di accesso hackate o divulgate per esporre segreti classificati.
Passi semplici possono renderci tutti più sicuri
Internet crea un rompicapo quasi impossibile: è quasi impossibile vivere la propria vita quotidiana senza essere online, ma mantenere la propria sicurezza online è altrettanto difficile. E i politici sono semplicemente umani come tutti noi. Commettono errori anche loro. E a volte, anche se fai tutto giusto, le tue informazioni possono comunque finire nei database degli hacker.
Le grandi aziende chiaramente meritano anche una grande parte della colpa. Come la infinita(nuova finestra) raffica(nuova finestra) di dati(nuova finestra) violati(nuova finestra) dimostra(nuova finestra), devono prendersi cura meglio delle informazioni sugli account che raccolgono. Tuttavia, i funzionari governativi, soprattutto i legislatori con accesso a informazioni sensibili del governo, devono avere un modello di minaccia più robusto rispetto alla persona media. Questo si applica a qualsiasi figura pubblica — sia essa un accademico, un giornalista, un dirigente aziendale, ecc.
Per cominciare, nessuno dovrebbe usare la propria email professionale per creare account online, specialmente i funzionari governativi che hanno accesso a informazioni segrete. Il tuo indirizzo email è la tua identità online, qualcosa che consente a Big Tech, agli inserzionisti e talvolta anche agli attaccanti malevoli di seguirti in giro per internet. Usare il proprio indirizzo email ufficiale per gli account è come urlare: “Sono un obiettivo prezioso”, ogni volta che entri in una stanza.
Ecco alcuni semplici passi che tutti, ma in particolare i politici e chiunque altro sotto scrutinio pubblico, dovrebbero adottare se sono seri nel voler aumentare la sicurezza dei loro account:
- Usa alias email – Gli alias email oscurano a chi appartiene un account (almeno se l’alias viene esposto in una violazione). Puoi anche facilmente eliminare un alias che è stato chiaramente divulgato o è finito nelle mani sbagliate senza influenzare il tuo vero indirizzo email o altri alias.
- Usa un gestore di password – Un gestore di password non può impedire ai servizi di divulgare password in testo chiaro, ma può garantire che ogni tuo account sia protetto da una password robusta, casuale e unica. Un buon gestore di password dovrebbe anche rendere facile condividere e gestire le password, rendendo meno probabile che tu esponi una password scrivendola.
- Usa i servizi di monitoraggio del dark web – Puoi fare tutto correttamente e avere ancora le tue informazioni esposte online a causa della violazione dei dati di un’azienda negligente. Ma se hai il monitoraggio del dark web, verrai informato nel momento in cui le tue informazioni vengono rilevate, permettendoti di cambiare il tuo indirizzo email (o, idealmente, il tuo alias email) e la password prima che gli aggressori possano usarli.
Proton Pass può risolvere tutti questi problemi. Se scegli il nostro piano Proton Pass Plus, ottieni:
- Alias hide-my-email illimitati
- Generatore di password
- Supporto per passkey
- Un generatore di codice di autenticazione a due fattori integrato
- Pass Monitor, che ti avvisa se i tuoi indirizzi email o alias di Proton Mail appaiono sul dark web
- Proton Sentinel, che difende il tuo account Proton da attacchi di takeover
Prendi il controllo della sicurezza del tuo account (e, se sei un parlamentare, aiuta a evitare uno scandalo nazionale) iscrivendoti a un piano Proton Pass Plus oggi.
