Anche l’esercito britannico ha inviato email in Mali per sbaglio

Il ministero della Difesa del Regno Unito ha avviato un’indagine interna dopo avere scoperto che alcune email contenenti informazioni riservate sono state inviate verso il Mali, invece che al Dipartimento della difesa degli Stati Uniti. Il problema è stato causato da un errore di compilazione degli indirizzi email, utilizzando il dominio di primo livello nazionale “.ml” del Mali al posto di “.mil”, il dominio di primo livello utilizzato dall’esercito statunitense. A inizio luglio si era scoperto che a causa di un errore simile anche il Dipartimento della difesa aveva inviato migliaia di email ai destinatari sbagliati.

I responsabili dell’esercito britannico hanno detto che le email inviate per errore non contenevano informazioni tali da compromettere la sicurezza nazionale, ma la vicenda ha comunque creato un certo imbarazzo e qualche preoccupazione sui livelli di sicurezza informatica e la preparazione del personale. Sempre secondo il ministero della Difesa del Regno Unito, l’errore avrebbe riguardato un numero limitato di email, come ha detto un portavoce: «Abbiamo avviato un’indagine dopo che una piccola quantità di email era stata inviata al dominio sbagliato. Siamo convinti che non contenessero informazioni in grado di compromettere la sicurezza delle nostre attività o dei dati».

La gestione della posta elettronica utilizzata dall’esercito britannico comprende alcuni sistemi di controllo per ridurre il rischio che le email siano inviate ai destinatari sbagliati, ma qualcosa non deve avere funzionato come previsto. Per questo il sistema sarà rivisto per ridurre il rischio che vengano inseriti indirizzi dei destinatari scorretti. Non è comunque chiaro quante email siano state effettivamente consegnate a indirizzi con “.ml”, considerato che oltre al dominio deve corrispondere anche il resto dell’indirizzo email per portare a termine la consegna, altrimenti il mittente riceve un messaggio di errore.

La vicenda ha suscitato una certa attenzione perché il Mali ha crescenti rapporti con la Russia, che ha da poco promesso di fornire gratuitamente il proprio grano al paese dopo essersi ritirata dall’accordo sulla circolazione delle merci nel Mar Nero nonostante la guerra in Ucraina. In precedenza il Mali aveva accolto i mercenari del gruppo russo Wagner, impegnati nei combattimenti con l’esercito locale contro alcuni gruppi jihadisti.

Gli Stati Uniti all’inizio di questa settimana hanno annunciato sanzioni nei confronti di alcuni membri del governo e dell’esercito del Mali, proprio per avere coordinato le attività dei Wagner nel paese. La decisione è arrivata circa una settimana dopo le prime informazioni non confermate sull’invio di email ai destinatari sbagliati da parte dell’esercito statunitense, sempre a causa della confusione tra “.ml” e “.mil”.

Secondo il Financial Times, gli invii errati sarebbero proseguiti per almeno dieci anni portando alla diffusione di milioni di email verso il Mali contenenti dati di vario genere, comprese informazioni mediche, documenti di identità, immagini e dettagli sulle basi militari statunitensi. Molte di quelle email sarebbero state inviate dalle società che hanno ricevuto appalti dal Dipartimento della difesa e non direttamente dall’esercito degli Stati Uniti.

Uno dei gestori del dominio “.ml” in appalto per conto del Mali aveva detto di avere attivato un sistema per rilevare le email inviate agli indirizzi sbagliati e inesistenti, ma a causa della grande quantità di messaggi la sua soluzione aveva smesso di funzionare in breve tempo. Da gennaio, il sistema aveva comunque raccolto circa 117mila email e la circostanza era stata riferita al Dipartimento della difesa statunitense. Il controllo dei sistemi è passato da pochi giorni al Mali, in seguito alla fine dell’appalto.

L’esercito degli Stati Uniti ha detto di essere da tempo a conoscenza del problema e di avere impostato un filtro ai sistemi di posta elettronica che impedisce di inviare email a indirizzi “.ml”. Il filtro è attivo solamente per gli indirizzi email controllati direttamente dal Dipartimento della difesa e non impedisce quindi a soggetti terzi, come le società che hanno appalti con l’esercito, di inviare email verso il dominio sbagliato.