Vodafone Italia ha ammesso di avere subìto un data breach causato da un attacco cyber andato a buon fine ai danni di FourB S.p.A., che opera come partner commerciale di Vodafone in Italia. Nell’attacco sono state compromesse informazioni sensibili di alcuni abbonati, fra cui i dettagli dei contratti e i documenti di identità. Vodafone Business ha proceduto a contattare i clienti coinvolti. Il tutto è accaduto all’inizio di settembre, e a rivendicare l’attacco sarebbe un gruppo noto con il nome di KelvinSecurity, che sostiene di avere sottratto a FourB 295.000 file (310 GB) di proprietà di Vodafone Italia, che sono stati messi in vendita nel dark web.

L'azienda ha diffuso una nota ufficiale in cui ricapitola brevemente l'accaduto: "Un partner commerciale che opera come rivenditore di servizi Vodafone per le aziende, FourB Spa, a settembre era rimasto vittima di un crimine informatico, attraverso cui erano state sottratte copie digitali delle sottoscrizioni e documenti a queste associati. Già a settembre FourB aveva posto in essere tutte le azioni necessarie per la risoluzione del problema".

Vodafone Italia ha altresì aggiunto che aveva tempestivamente "informato il Garante per la protezione dei dati personali e il rivenditore aveva sporto denuncia all’Autorità giudiziaria. I clienti coinvolti sono stati contattati ed è stata fornita loro assistenza. Per Vodafone la sicurezza dei dati dei propri clienti è una priorità assoluta, per questo vengono condotte attività di prevenzione e controllo continue e approfondite".

Navigare in un mare di pesci piccoli

Vodafone è quindi stata vittima di un tipico attacco alla supply chain come se ne stanno vedendo tanti di questi tempi. Invece che prendere mi mira una grossa azienda presumibilmente ben protetta, gli attaccanti preferiscono attaccare un piccolo fornitore al fine di ottenere il maggiore risultato con il minimo sforzo. Una sorta di commodity, in un contesto in cui la digitalizzazione costituisce un terreno fertile per il business sia delle aziende, sia del cybercrime.

Molti avevano previsto che il modello di attacco che sfrutta la catena di fornitura sarebbe stato ampiamente sfruttato nel 2022, la nefasta previsione ha ormai dimostrato ampiamente la sua validità, con la complicità di due mancanze diffuse da parte delle potenziali vittime. La prima è la mancanza di uno standard di cybersecurity condiviso da tutta la filiera, che favorisce l’attacco ai pesci più piccoli, sferrato e architettato per colpire quelli grossi a cui sono agganciati.

Il secondo fattore è l’assenza di comunicazione sulle informazioni relative agli incidenti cyber. Da tempo gli esperti di security rimarcano che per prevenire e gestire gli attacchi alla supply chain è necessario che tutta la filiera sia allineata sullo stesso standard di sicurezza informatica. E che sia attivo un canale di comunicazione aperto per la condivisione delle informazioni.