L’attacco informatico contro Talk Talk

Mercoledì 21 ottobre la grande società britannica di telecomunicazioni Talk Talk ha subìto un grave attacco informatico: i dati delle carte di credito e dei conti correnti di migliaia di suoi clienti sono stati rubati, esponendoli al rischio di furti di denaro e truffe. Nell’attacco sono stati rubati anche dati su nomi, indirizzi, luoghi e date di nascita. Talk Talk aveva spiegato di aver notato “attività inusuali” sul suo sito mercoledì 21 ottobre e di averlo messo offline in via precauzionale. Attacchi informatici come quello a Talk Talk non sono infrequenti, la stessa società ne aveva subiti altri due nel corso degli ultimi mesi, e le indagini sono iniziate senza che ci fossero indizi particolari su chi potesse essere stato il responsabile. Inizialmente si era parlato di un gruppo di hacker russi legati in qualche modo all’estremismo islamico, ma la notizia si era rivelata poi infondata. Nel corso del fine settimana, poi, Talk Talk aveva in parte rassicurato i suoi clienti spiegando che l’attacco informatico non aveva portato a una perdita di dati grave come inizialmente pensato; lunedì sera la polizia del Regno Unito ha arrestato un 15enne nordirlandese, ritenuto in qualche misura collegato all’attacco contro Talk Talk.

L’attacco informatico ai server di Talk Talk, aveva spiegato la CEO della società Dido Harding, era stato scoperto intorno all’ora di pranzo di mercoledì 21 ottobre: gli esperti di sicurezza informatica della società avevano allora messo offline il sito per “proteggere i dati dei clienti”. Talk Talk aveva parlato di un attacco DDoS (distributed denial of service), un tipo di attacco informatico in cui un certo sito viene saturato di richieste di accesso fino a che non smette di funzionare. In molti hanno fatto notare come un attacco DDoS non sia collegabile direttamente a una perdita di dati e diversi esperti hanno ipotizzato che l’attacco DDoS, piuttosto facile da eseguire, sia stato solo un modo di distrarre l’attenzione degli esperti di sicurezza mentre un altro attacco ai server veniva portato a termine.

In un comunicato diffuso qualche ora dopo l’attacco informatico, Talk Talk avvertiva i suoi clienti di prestare particolare attenzione alle transazioni delle loro carte di credito e dei loro conti correnti, poiché molti dati non crittografati potevano essere stati rubati durante l’attacco. Tra questi anche nomi, indirizzi, indirizzi email, numeri telefonici e date di nascita dei suoi clienti. Talk Talk aveva anche avvertito di segnalare possibili telefonate da persone che si dicevano impiegati della società e che chiedevano di ottenere dati personali: già nel 2014 circa 100 clienti di Talk Talk furono raggirati in questo modo e derubati di migliaia di sterline dopo che alcuni loro dati personali erano stati rubati da un gruppo di hacker indiani.

Gli attacchi informatici ai server delle compagnie telefoniche, che raccolgono informazioni personali di milioni di persone (quelle che vengono usate per gli addebiti automatici delle bollette, per esempio), accadono quasi mensilmente, ma solitamente le difese informatiche dei server sono sufficienti a respingere gli attacchi e il fatto che i dati siano crittografati li rende sostanzialmente inutilizzabili anche se dovessero essere sottratti. Il fatto che Talk Talk in questo caso abbia deciso di avvertire i suoi  4 milioni di clienti dell’attacco ha fatto pensare agli esperti di sicurezza informatica che si trattasse di qualcosa di più grave del solito.

Le indagini di polizia erano iniziate poche ore dopo la scoperta dell’attacco senza che ci fossero particolari indizi su chi lo avesse compiuto. Venerdì 23, poi, Dido Harding aveva detto di essere stata personalmente contattata da una persona che diceva di essere l’hacker responsabile dell’attacco e che le aveva chiesto denaro per non divulgare i dati e le informazioni rubati. Lo stesso giorno un messaggio postato online sosteneva che i responsabili dell’attacco fossero un gruppo di hacker russi legati al jihadismo islamico, ma diversi esperti di sicurezza informatica avevano preso poco sul serio la rivendicazione. Nel corso del fine settimana Talk Talk aveva anche detto di aver sopravvalutato l’entità dell’attacco e di non temere più che gli hacker avrebbero potuto usare le informazioni rubate per rubare direttamente denaro dai conti o dalle carte di credito dei clienti di Talk Talk.

Il primo arresto per l’attacco informatico è stato eseguito lunedì pomeriggio dalla polizia dell’Irlanda del Nord in collaborazione con la Metropolitan Police di Londra: la persona arrestata è un ragazzo di 15 anni nordirlandese che viveva a nella contea di Antrim. La polizia ha detto che il ragazzo è stato arrestato in collegamento all’attacco di mercoledì 21, che la sua casa è stata perquisita e che lui è stato interrogato nella sera di lunedì. Il ragazzo è stato poi rilasciato su cauzione martedì mattina. Come hanno fatto notare alcuni esperti di sicurezza informatica, il fatto che l’attacco possa essere stato compiuto da un ragazzo di 15 anni usando il suo computer di casa potrebbe essere in qualche modo “rivoluzionario” per il modo in cui si tratta comunemente la sicurezza informatica; molti hanno anche rinnovato le critiche a Talk Talk sulla scarsa efficacia dei suoi sistemi di sicurezza.

Se Talk Talk dovesse essere giudicata responsabile in qualche modo dell’attacco – per esempio per non aver crittografato i dati sensibili dei suoi clienti – potrebbe ricevere una multa di circa 500.000 sterline (700.000 euro circa). Il suo fatturato annuale è di 4,2 miliardi di sterline (circa 5,8 miliardi di euro). Talk Talk ha fatto comunque sapere che ai clienti che volessero lasciare la compagnia come conseguenza dell’attacco farà pagare la penale di rescissione del contratto, di circa 300 sterline.