Una falla nella sicurezza di un’applicazione installata sui cellulari degli agenti della polizia cantonale bernese ha permesso a degli hacker di impossessarsi di nomi, cognomi e numeri di telefono dei 2'800 collaboratori del corpo.
I pirati informatici si sono trovati una porta spalancata grazie al fatto che sugli smartphone in dotazione è installata l’app MobileIron, un programma di Ivanti, utilizzato in tutto il mondo per garantire la connessione tra apparecchi mobili sul campo e i server presso la sede dell'azienda. Apparentemente un sistema molto sicuro. Il 21 luglio però, come confermato dalla polizia bernese alla SRF, il Centro nazionale per la cibersicurezza (NCSC) l'ha informata che MobileIron era affetta da una vulnerabilità di sicurezza precedentemente sconosciuta. Il problema è stato risolto rapidamente, ma nel frattempo gli hacker ne avevano già approfittato impossessandosi dei dati degli utenti dell'applicazione.
Non si sa chi abbia rubato i dati. A Berna confermano che è stato avviato un procedimento penale. Finora non ci sono prove che i dati delicati siano stati pubblicati. Intanto i 2'800 poliziotti bernesi sono stati informati che potrebbero essere presi di mira da attacchi mirati. I malintenzionati potrebbero farsi passare per i loro colleghi.
Tramite MobileIron attaccati diversi ministeri in Norvegia
Il fatto che ci fosse una lacuna nell'app MobileIron, ha spiegato la trasmissione 10vor10, è diventato noto a livello internazionale a luglio. Secondo Ivanti il numero dei clienti interessati dal problema è molto limitato. Secondo la stampa specializzata invece potrebbe essere molti. Si parla di 2'300 server per la gestione di dispositivi mobili potenzialmente esporti.
Tra i clienti c'è anche il governo norvegese: dodici ministeri sono stati attaccati grazie alla falla e gli aggressori sono penetrati fino ai server di posta. A quanto pare sono state le autorità norvegesi a scoprire la vulnerabilità sfrutta almeno da aprile e ad avvertire il produttore.
Le autorità di cybersicurezza di Norvegia e Stati Uniti stanno avvertendo di almeno due lacune di sicurezza negli Ivanti Endpoint Manager Mobile (il nuovo nome di MobileIron Core). La Cybersecurity and Infrastructure Security Agency ha dato mandato alle agenzie federali statunitensi di riparare i loro sistemi dal possibile sfruttamento dei bug entro il 21 agosto.