Proton
Iscriviti con RSS

Casa di carte informatica – Dati personali dei politici esposti online

Condividi questa pagina

Gli indirizzi email e altre informazioni sensibili di 918 parlamentari britannici, membri del Parlamento Europeo e deputati e senatori francesi sono stati divulgati nei marketplace del dark web dove i dati vengono comprati e venduti illegalmente. Come parte della nostra indagine con Constella Intelligence(nuova finestra), abbiamo cercato nel dark web 2.280 indirizzi email ufficiali del Parlamento britannico, del Parlamento Europeo e del Parlamento francese. Abbiamo scoperto che circa il 40% era stato esposto, insieme a password, date di nascita e altro ancora.

I parlamentari britannici sono risultati i più colpiti, con oltre due terzi (68%) degli indirizzi email controllati comparsi nel dark web, seguiti da quasi la metà (44%) degli eurodeputati. I deputati e i senatori francesi avevano la miglior sicurezza, con solo il 18% delle email cercate comparsi negli scambi tra hacker.

Il fatto che queste email, che sono pubblicamente disponibili sui siti web del governo, siano presenti nel dark web non è un fallimento della sicurezza di per sé. Non è nemmeno una prova di un hack dei parlamenti britannico, europeo o francese. Invece, mostra che i politici utilizzavano i loro indirizzi e-mail ufficiali per creare account su siti web di terze parti (che in seguito sono stati hackerati o hanno subito una violazione), mettendo inutilmente a rischio se stessi e le informazioni che sono incaricati di proteggere.

Ancora più preoccupante è che questi indirizzi e-mail siano stati abbinati a 697 password in testo normale. (Proton ha informato ogni politico coinvolto che avevano dati sensibili esposti su internet prima di pubblicare questo articolo). Se un politico ha riutilizzato una di queste password esposte per proteggere il suo account e-mail ufficiale, potrebbe essere anch’esso a rischio.

Abbiamo visto il caos che un singolo account e-mail compromesso può causare. Durante le elezioni presidenziali statunitensi del 2016, il capo dello staff di Hillary Clinton è famoso per essere caduto in un attacco di phishing(nuova finestra) e ha avuto le sue email esposte, rivelando messaggi imbarazzanti(nuova finestra) e fornendo materiale per ogni tipo di speculazione(nuova finestra). Immagina il caos che gli attaccanti potrebbero creare se riuscissero a ottenere accesso a una frazione degli account email ufficiali di questi politici.

Molti di questi deputati, membri del Parlamento Europeo, deputati e senatori occupano posizioni di rilievo, includendo capi di commissioni, ministri del governo e leader dell’opposizione, e hanno accesso a informazioni altamente sensibili. Ancora peggio, alcuni di loro attualmente fanno parte o hanno fatto parte di commissioni incaricate di supervisionare e attuare strategie digitali nazionali (e internazionali).

Sebbene non pubblichiamo alcun dato identificabile per evitare di mettere a rischio le persone, possiamo rivelare che la nostra indagine ha mostrato che i politici eletti usavano regolarmente le loro email ufficiali per iscriversi a servizi come LinkedIn, Adobe, Dropbox, Dailymotion, siti di petizioni, servizi di notizie e persino, in un piccolo numero di casi, siti di incontri.

Qui sotto, condividiamo i risultati completi della nostra indagine, cosa potrebbe comportare questo atteggiamento negligente verso la cybersicurezza, e cosa i politici (e tutti gli altri) possono fare per migliorare la loro sicurezza online.

Dati dei politici esposti

Nella nostra indagine, purtroppo abbiamo trovato ogni tipo di informazione sensibile collegata agli account email dei politici, includendo la loro data di nascita, l’indirizzo della residenza e i profili social. Presi insieme, queste informazioni danno agli attaccanti un sacco di dettagli per creare attacchi di phishing convincenti.

Numero di indirizzi email ricercatiNumero di indirizzi email compromessiNumero di password esposte in chiaroNumero di password esposte in chiaro
Parlamento Europeo70530916127
Parlamento Britannico65044321630
Parlamento Francese925166320137

I politici francesi superano altri funzionari eletti

Come accennato in precedenza, solo il 18% delle email dei politici francesi che abbiamo cercato sono apparse negli scambi del dark web. Tuttavia, queste violazioni non sono distribuite uniformemente. Nel Senato Francese, 115 delle 348 (33%) email dei senatori che abbiamo cercato sono state esposte, confrontate con solo 51 su 577 (circa 9%) per i deputati dell’Assemblea Nazionale.

Se un politico francese è stato violato, le sue informazioni sono apparse in una media di 7,8 violazioni. Se questo numero sembra alto, è indubbiamente perché la Francia ospita l’unico politico che ha subito il maggior numero di violazioni del suo indirizzo email (137) e ha avuto il maggior numero di password esposte in testo semplice (133).

La Francia ospita anche un esempio del peggior scenario possibile effettivamente accaduto. Nel novembre 2023, i giornalisti hanno scoperto che un aggressore ha rubato il nome utente e la password dell’indirizzo email di un membro del Parlamento e ha venduto l’accesso alla loro casella di posta ufficiale sul dark web(nuova finestra). Forse l’aspetto più sorprendente di questa storia è che il prezzo richiesto era solo $150 (€138).

Poco più di un mese prima dell’inizio delle Olimpiadi di Parigi, questi risultati evidenziano preoccupazioni sulle pratiche di cybersicurezza dei politici, dove anche una sola violazione potrebbe rappresentare una grave minaccia per la sicurezza nazionale.

La maggior parte dei politici britannici è stata violata

Secondo le nostre scoperte, i parlamentari britannici sono stati fortunati a non aver subito uno scandalo importante per l’acquisizione di account; il 68% degli indirizzi email cercati è stato trovato nel dark web, inclusi figure di primo piano sia nel governo che nell’opposizione. Gli indirizzi email dei parlamentari sono stati esposti un totale di 2.110 volte nel dark web, con il parlamentare più frequentemente bersagliato che ha subito fino a 30 violazioni. Si sono ripresentati più volte, con il parlamentare medio che ha visto i propri dati apparire in 4,7 violazioni.

Il Regno Unito è stato ripetutamente preso di mira da attacchi informatici sostenuti dallo stato, incluse le interferenze della Russia. A dicembre 2023, il governo del Regno Unito ha accusato la Russia(nuova finestra) di un “attacco informatico durato anni” contro accademici, politici e decisori britannici. Ha affermato che l’FSB russo stava cercando di fare phishing su questi individui per spiare il loro servizio di posta elettronica privata.

Con le prossime elezioni generali nel Regno Unito, è fondamentale che i nuovi deputati prendano seriamente la loro sicurezza informatica personale e nazionale e aderiscano a processi e protocolli di sicurezza rigorosi per gli account ufficiali.

Anche l’UE è un obiettivo

Mentre i membri del Parlamento Europeo hanno subito meno violazioni rispetto ai loro colleghi britannici, quasi la metà delle email che abbiamo cercato appariva sul dark web. Dei 309 eurodeputati esposti, 92 sono stati coinvolti in 10 o più fughe di dati. I politici a Bruxelles hanno visto i loro indirizzi email esposti 2.311 volte, insieme a 161 password in chiaro. Questa è un’allerta rossa, poiché il Parlamento Europeo è diventato sempre più un obiettivo di attacchi sofisticati e ha ammesso di non essere preparato.

Quando Politico(nuova finestra) ha chiesto della sicurezza del Parlamento Europeo e delle prossime elezioni, un membro del personale anonimo (che ha preferito rimanere senza nome a causa della delicatezza del problema) ha detto: “Siamo con il sedere scoperto e se qualcuno vuole hackerarci, come qualsiasi attore cinese o statale, può farlo”.

Le minacce sono reali. A febbraio, due membri e un membro dello staff della sottocommissione sicurezza e difesa del Parlamento Europeo hanno trovato spyware sui loro smartphone(nuova finestra). E a marzo, è stato rivelato che APT31 (anche noto come Judgment Panda), un gruppo di hacker con legami con le agenzie di intelligence cinesi, era il probabile sospetto dietro un tentato hack di ogni membro dell’Unione Europea(nuova finestra) dell’Alleanza Interparlamentare sulla Cina, una coalizione di legislatori critici nei confronti del governo cinese.

La sicurezza informatica è sicurezza nazionale

Nella nostra indagine, i politici coinvolti generalmente hanno visto i loro dati trapelare da fornitori di servizi, come LinkedIn o Adobe. Anche se la presa di controllo ostile di uno di questi account non darebbe a un attaccante (o a un governo straniero) accesso ai segreti di stato, potrebbe rivelare comunicazioni private del politico o altri dati sensibili. Gli attaccanti potrebbero quindi usare queste informazioni per phishing o ricattare i politici.

E questo è lo scenario migliore possibile. Se un politico compromesso riutilizzasse una password esposta sul dark web su uno dei suoi account ufficiali (e non avesse utilizzato l’autenticazione a due fattori), potrebbe permettere agli attaccanti di accedere ai sistemi governativi.

Purtroppo, basta un solo errore per mettere a rischio le tue informazioni online. E per un governo, basta una sola serie di credenziali di accesso hackerate o trapelate per esporre segreti classificati.

Semplici passi possono renderci tutti più sicuri

Internet crea un dilemma quasi impossibile: è quasi impossibile trascorrere la vita quotidiana senza essere online, ma mantenere la tua sicurezza online è altrettanto difficile. E i politici sono solo esseri umani come tutti noi. Anche loro fanno errori. E a volte, anche se fai tutto bene, le tue informazioni possono comunque finire nei database degli hacker.

Anche le grandi aziende meritano chiaramente una buona parte della colpa. Come la infinita(nuova finestra) raffica(nuova finestra) di dati(nuova finestra) violati(nuova finestra) dimostra(nuova finestra), devono prendersi cura meglio delle informazioni sugli account che raccolgono. Tuttavia, i funzionari governativi, soprattutto i legislatori con accesso a informazioni sensibili del governo, devono avere un modello di minaccia più robusto rispetto alla persona media. Questo vale per qualsiasi figura pubblica — che sia un accademico, un giornalista, un dirigente d’azienda, ecc.

Per iniziare, nessuno dovrebbe usare la propria email professionale per creare account online, soprattutto i funzionari governativi che hanno accesso a informazioni segrete. Il tuo indirizzo email è la tua identità online, qualcosa che permette alle Big Tech, agli inserzionisti e talvolta anche agli attaccanti malevoli di seguirti su internet. Usare il tuo indirizzo email ufficiale del governo per gli account è come gridare, “Sono un bersaglio prezioso”, ogni volta che entri in una stanza.

Ecco alcuni semplici passi che tutti, ma soprattutto i politici e chiunque altro sotto scrutinio pubblico, dovrebbero adottare se vogliono davvero aumentare la sicurezza dei loro account:

  • Usa alias email – Gli alias email nascondono a chi appartiene un account (almeno se l’alias viene esposto in una violazione). Puoi anche eliminare facilmente un alias che è stato chiaramente trapelato o finito nelle mani sbagliate senza influenzare il tuo vero indirizzo email o altri alias.
  • Usa un gestore di password – Un gestore di password potrebbe non impedire ai servizi di perdere password in chiaro, ma può garantire che ciascuno dei tuoi account sia protetto con una password forte, casuale e unica. Un buon gestore di password dovrebbe anche rendere facile condividere e gestire le password, riducendo la probabilità di esporre una password scrivendola.
  • Usa servizi di monitoraggio del dark web – Puoi fare tutto correttamente e avere ancora le tue informazioni esposte online a causa di una violazione dei dati di una azienda negligente. Ma se hai il monitoraggio del dark web, sarai informato non appena le tue informazioni vengono rilevate, permettendoti di cambiare il tuo indirizzo email (o, idealmente, il tuo alias email) e password prima che gli aggressori possano usarle.

Proton Pass può risolvere tutti questi problemi. Se scegli il nostro piano Proton Pass Plus, ottieni:

  • Alias illimitati hide-my-email
  • Un generatore di password
  • Supporto per passkey
  • Un generatore di codici di autenticazione a due fattori integrato
  • Pass Monitor, che ti avvisa se i tuoi indirizzi email o alias di Proton Mail compaiono sul dark web
  • Proton Sentinel, che difende il tuo account Proton dagli attacchi di takeover

Prendi il controllo della sicurezza del tuo account (e, se sei un parlamentare, aiuta a evitare uno scandalo nazionale) iscrivendoti oggi a un piano Proton Pass Plus.

Scegli Proton Pass Plus
Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

An image showing Proton Drive's open-source code in GitHub
en
Proton Drive’s desktop apps are open source, meaning you can review the code of any Proton Drive app for yourself.
how to create a business email account
en
This article explains how to create a business email account that’s secure by default using Proton Mail.
A cover image for a Proton blog about how to safely share your wifi password - image shows a wifi symbol with a button saying 'share' with a key symbol
en
Is it safe to share Wi-Fi passwords in a text? Here’s how to share your Wi-Fi password easily and securely on any device, from any location.
A Proton blog cover image showing a phone screen with an empty one time password code field
en
  • Guide sulla privacy
What is a one time password?
One time passwords are a common method for authenticating your identity – are they safe? We explain what they are and how to use them safely.
en
In response to popular demand, our privacy-first AI writing assistant Proton Scribe is now available for free on our Duo and Family plans, in nine different languages.
en
  • Guide sulla privacy
How does Bitcoin work?
It’s easy to understand Bitcoin if you know a few simple concepts. This article explains how Bitcoin works and how to start using it.