150 hacker all’attacco della Posta
Circa 150 hacker di tutto il mondo hanno avuto 24 ore di tempo per hackerare i 300 webservice della Posta ed entrare nei suoi sistemi. È quanto accaduto alla Conferenza internazionale degli hacker del 25 e 26 giugno a Parigi, con la Posta a ricoprire il ruolo del bersaglio. Per la prima volta, l’azienda ha messo a disposizione degli hacker tutti i suoi servizi internet in vista di un attacco. L’obiettivo della Posta era trovare ed eliminare le falle nella sicurezza, quello degli hacker individuare le vulnerabilità e intascare i soldi. In quest’intervista, il Chief Information Security Officer Marcel Zumbühl rivela quante vulnerabilità sono state scoperte dagli hacker e quanto sono sicuri i webservice.
Iniziamo dal lato più interessante: gli hacker sono riusciti a penetrare nei sistemi della Posta? E se sì, quante vulnerabilità informatiche hanno riscontrato?
Marcel Zumbühl: In quelle 24 ore gli hacker hanno trovato 22 vulnerabilità. La maggior parte era di livello basso o medio; una era seria e un’altra critica.
22 falle nella sicurezza della Posta?! Sono un bel po’…
Me ne aspettavo molte di più. Se pensa che per 24 ore 150 dei migliori hacker del mondo hanno attaccato tutti i servizi internet della Posta, che sono circa 300, 22 vulnerabilità non sono poi così tante. Oltretutto, gli hacker hanno ammesso di aver trovato pane per i loro denti con la sicurezza della Posta. Alcuni sono stati addirittura frustrati di fronte all’incapacità di trovare altre lacune.

Marcel Zumbühl, Chief Information Security Officer della Posta
Ciononostante, sono state riscontrate vulnerabilità critiche. Quali sono i due punti deboli seri a cui ha fatto cenno prima?
Il primo riguarda il cosiddetto «ufficio oggetti smarriti per i pacchi»: si tratta di un servizio online utilizzato, ad esempio, dal personale del servizio clienti per ritrovare i pacchi segnalati come smarriti. Anche se si tratta di un servizio puramente interno della Posta, gli hacker sono riusciti a entrare dall’esterno e a manipolare i dati dei pacchi. La seconda vulnerabilità riguarda il nostro WebTransfer, una piattaforma con cui si possono mettere a disposizione grossi volumi di dati da scaricare, ad esempio immagini. Gli hacker sono riusciti a hackerare il WebTransfer in modo che, ad esempio, gli indirizzi e-mail del nostro personale avrebbero potuto essere bombardati di e-mail di phishing.
Questo significa che anche dei criminali potrebbero penetrare in questi due servizi della Posta e arrecare danni?
Come per tutte le falle di sicurezza, ci assicuriamo di poterle eliminare subito oppure, finché non le abbiamo eliminate, evitiamo con una sorveglianza mirata che possano essere sfruttate. È come scoprire un buco in una recinzione: o si riesce a richiudere subito l’apertura o si mette qualcuno a fare la guardia in modo che nessuno ne approfitti per entrare fintantoché non si riesce a sistemarla definitivamente.
Insomma, i sistemi della Posta sono stati hackerati. Significa che i dati della nostra clientela sono stati accessibili?
Finché le vulnerabilità rimangono ignote, non si può mai escludere che i dati della clientela siano esposti a rischi. Per questo motivo la Posta mette in atto svariati test di sicurezza e meccanismi di protezione permanenti e fa di tutto per individuare per tempo le lacune di sicurezza, in modo che non possano essere sfruttate. Durante la conferenza degli hacker di Parigi, il team addetto alla sicurezza delle informazioni della Posta era presente in loco per assicurare che i dati dei clienti fossero costantemente protetti.
Quindi, possiamo considerare sicuri i webservice della Posta?
Sì, i webservice della Posta sono sicuri. Lo sappiamo tutti: quando ne va nella sicurezza, non possiamo mai abbassare la guardia, altrimenti lasceremmo un margine di errore. Questo vale per il mondo digitale così come per la realtà concreta, ad esempio il traffico o l’aviazione. La sicurezza è un processo e noi investiamo enormemente nella sicurezza dei prodotti e sistemi della Posta. Proprio in questo senso cerchiamo costantemente vulnerabilità in modo mirato. Vogliamo trovarle ed eliminarle. Uno dei modi in cui lo facciamo è affidandoci agli hacker più esperti, così da migliorarci e aumentare la sicurezza.
Quali hacker si prestano a queste attività? Con quali motivazioni?
Si tratta dei cosiddetti «hacker etici», vale a dire senza intenti criminali. Sono esperte ed esperti specializzati in sicurezza informatica che, per conto di un committente e d’intesa con lui, tentano di hackerare i suoi prodotti e servizi in maniera mirata allo scopo di individuare le vulnerabilità. In questo caso la committente era la Posta. Diversamente dagli hacker criminali, sono tutte persone registrate presso di noi e che conosciamo di persona. Inoltre, lavorano fianco a fianco con il nostro personale di sviluppo IT.
Nel momento in cui 150 hacker hanno attaccato contemporaneamente la Posta ci sono stati problemi informatici? Alcuni servizi sono rimasti paralizzati durante questo tempo?
No, i nostri sistemi e reti IT hanno sostenuto questo attacco concentrato senza riportare danni. Il servizio web non è stato mai compromesso nemmeno per un istante durante quelle 24 ore.
Ecco un’altra domanda scottante: quanto ha dovuto pagare la Posta gli hacker di Parigi?
Abbiamo versato 8700 euro. Per le due vulnerabilità di natura seria e critica riscontrate dagli hacker, li abbiamo pagati rispettivamente 1500 e 3000 euro.
Come mai la Posta ha deciso di partecipare alla conferenza degli hacker in veste di bersaglio?
Una delle priorità della nostra sicurezza delle informazioni è cercare costantemente e attivamente le falle nella sicurezza per richiuderle. Lo facciamo ogni giorno. Da circa quattro anni, nell’ambito di un programma bug bounty (cfr. riquadro), facciamo attaccare dagli hacker in modo mirato determinati servizi online della Posta. Questo ci ha permesso di individuare ed eliminare già 437 vulnerabilità. Quest’anno eravamo pronti, per la prima volta, a mettere seriamente alla prova tutti i servizi internet della Posta simultaneamente. La Conferenza internazionale degli hacker è l’occasione ideale per farlo e rappresenta un autentico test di resistenza.
Risponda sinceramente: non era un po’ nervoso prima della conferenza degli hacker?
Niente affatto, ero fiducioso. So che le mie collaboratrici e i miei collaboratori svolgono ogni giorno un lavoro eccellente. E poi, dopotutto, volevamo trovare le lacune di sicurezza. Bisogna vederla così: gli hacker criminali attaccano giorno e notte, senza essere annunciati né segnalati. In vista della conferenza ci siamo attrezzati: sul posto c’erano dieci specialiste e specialisti della sicurezza della Posta in costante dialogo con gli hacker etici. Anche in Svizzera avevamo team operativi 24 ore su 24 per assicurare che l’evento non avesse ripercussioni sui prodotti e sui servizi della Posta. Ogni singola falla nella sicurezza individuata alla conferenza è già stata richiusa oppure viene monitorata nello specifico finché non riusciremo a eliminarla definitivamente. Così nessun hacker criminale potrà più trovarla. Questo significa che i servizi digitali della Posta oggi sono più sicuri.
Il programma bug bounty della Posta
Quattro anni fa la Posta è stata una delle prime aziende svizzere a dotarsi di un programma bug bounty, nell’ambito del quale hacker etici svolgono controlli mirati su prodotti selezionati. Lo scopo di questi professionisti dalle buone intenzioni è individuare le falle di sicurezza o «bug». Per ogni punto debole rilevato ricevono un indennizzo, ovvero un bounty. L’entità dei bounty, cioè dei premi per le vulnerabilità confermate, dipende dalla criticità dei punti deboli individuati. Gli hacker etici del programma lavorano fianco a fianco con le sviluppatrici e gli sviluppatori della Posta sempre con lo stesso obiettivo: richiudere insieme al più presto e nel modo più sicuro possibile le falle individuate nella sicurezza.
Bilancio intermedio del programma bug bounty (aggiornato a metà giugno 2022)
Vulnerabilità segnalate: 1159
Vulnerabilità confermate: 437 (di cui 19 critiche e 61 serie)
Vulnerabilità eliminate: 437
Bounty versati (premi): 380’000 euro
Massimo premio versato finora: 40’000 euro
Sicurezza delle informazioni alla Posta
- Circa 1700 collaboratrici e collaboratori di cui circa 400 esterni e 1250 in servizio presso Informatica
- 70 collaboratrici e collaboratori presso Information Security
- 10 milioni di e-mail di spam e phishing intercettate al mese
- 100 attacchi hacker alla rete IT della Posta al mese
- 10’000 virus intercettati al mese