L'IT security non è una questione solo da tecnici ma è intessuta con la vita sociale e pubblica. E da gennaio 2019 la Germania lo sa molto bene, per il caso battezzato BTleaks. Tra dicembre e gennaio dati personali e documenti di centinaia di politici (e non solo) sono stati pubblicati online. Dopo essere stati sottratti illecitamente.

Il primo elemento che colpisce di BTleaks è la quantità e la varietà del materiale pubblicato. Spazia da informazioni personali a dati di valenza anche politica. E-mail e messaggi di testo, chat di Facebook e Twitter, fatture, foto di documenti. Ma anche foto e video personali, dichiarazioni fiscali, bozze di documenti politici, numeri di cellulare e indirizzi postali.

Parte di queste informazioni era comunque pubblica e non ha un vero valore commerciale o politico. Ma queste informazioni innocue rendono più plausibili altri documenti pubblicati che riguardano l'attività dei parlamentari. E che sono stati usati per mettere in cattiva luce alcuni di loro, perché proverebbero comportamenti impropri, se non illeciti. Tutti questi documenti sono veri? Non si sa. Per questo, complessivamente, BTleaks è una opera di disinformazione.

BTleaks: attivismo o attacco state-sponsored?

Si è ipotizzato che dietro BTleaks ci fosse il gruppo Fancy Bear. Ipotesi dovuta al fatto che a Fancy Bear si attribuisce un attacco ai sistemi IT del Bundestag avvenuto nel 2015.

Buona parte delle informazioni di BTleaks però sono molto più recenti. Inoltre vengono da violazioni degli account personali dei politici e delle altre persone coinvolte, più che dalla rete del Parlamento. Le due ipotesi però non si escludono a vicenda. È possibile che dalla violazione del 2015 siano state ricavate informazioni utili per violare altri sistemi nel 2018. Con diverse operazioni di "esflitrazione" da social network, account di posta e altri sistemi.

Questa dinamica articolata lascia pensare che non si tratti di un episodio di hacktivism locale bensì di una operazione APT. Altri elementi però farebbero pensare il contrario. Principalmente il modo in cui le informazioni sottratte sono state fatte circolare sul web.

L'avvio di BTleaks

I dati di BTleaks non sono apparsi online tutti insieme. Un account Twitter rubato (@_0rbit) ha iniziato a pubblicarli a partire dal primo dicembre. Ogni tweet conteneva uno o più link verso parti del materiale rubato, caricate in maniera anonima su PrivateBin. Per essere sicuri che i materiali non fossero subito eliminati, gli hacker ne hanno distribuite più copie indipendenti. Come spesso accade in questi casi, ulteriori copie dei documenti sono state comunque caricate su siti come 4chan.


I tweet iniziali sono stati amplificati da altri tre account secondari simili, con tutta probabilità semplici bot. Sino a quel momento il data leak è restato sottotraccia. Il caso è esploso quando è stato violato l'account Twitter di un noto YouTuber tedesco, usato per rilanciare @_0rbit.

Questa dinamica è contraddittoria. La compromissione di molti account per un lungo periodo, necessario a raccogliere molte informazioni, fa pensare a un gruppo organizzato. L'utilizzo di un account Twitter poco rilevante come canale di diffusione invece no.

Infatti, secondo le autorità federali tedesche dietro BTleaks ci sarebbe una sola persona. Uno studente di Francoforte che avrebbe fatto tutto da solo. E avrebbe dato alla polizia abbastanza informazioni per provare questa ipotesi. Non ci sarebbe quindi il coinvolgimento di nessuna entità esterna.

Bene per la politica internazionale. Ma cambia poco per la valutazione complessiva della gravità della vicenda. È grave che una sola persona possa violare gli account di centinaia di figure pubbliche. Ed è ancora più serio che una persona sola possa scatenare il panico nella scena politica di una nazione. Uno scenario per cui, però, gli esperti di sicurezza avevano già avvisato la politica. Che non sembra essersi preparata abbastanza.