La vicenda sembra quasi surreale perché, come titolano tanti giornali, “lo spione è stato spiato”. Hacking Team è un’azienda milanese che sviluppa software di spionaggio governativo ed è famosa soprattutto per il suo Remote Control System conosciuto anche coi nomi di Galileo o Da Vinci. Si tratta di un trojan, uno spyware, un programma nascosto in un file apparentemente innocuo, che si auto installa (pc, tablet o smartphone sono tutti vulnerabili all’Rcs) ed è in grado di intercettare, copiare e trasmettere le informazioni e i dati conservati sulla macchina (dai file alle chiamate via skype, dalle password ai whatsapp). Hacking Team lo ha venduto, legalmente, a Stati ed enti governativi. Si capisce bene, quindi, che già di per sé la faccenda è delicata, visto che si tratta di programmi di spionaggio informatico: non a caso, Reporter Senza Frontiere, aveva già nel 2012 nominato l’azienda “nemica di internet” mentre organizzazioni non governative l’avevano accusata di vendere lo spyware a Governi dittatoriali. Tutte accuse che l’azienda aveva rigettato, ribadendo che il suo programma aiuta la lotta al terrorismo. L’altra sera, però, l’Hacking Team è stato oggetto di un attacco informatico. Risultato? Violati i server dell’azienda e rubati 400 giga di dati e informazioni che sono stati diffusi tramite gli account twitter dei suoi amministratori di sistema (hackerati anche quelli e poi sospesi) e caricati su torrent (quindi scaricabili da tutti). La cosa più incredibile è la scarsa sicurezza con cui Hacking Team sembra aver protetto i suoi dati, fatto ancor più surreale se si pensa al settore in cui essa opera. Surreale e imbarazzante: gli screenshot che girano in rete mostrano le password che uno degli amministratori di sistema usava, password che ormai anche i più inesperti hanno imparato ad evitare; su un file, in chiaro (cioè senza essere criptato) erano registrati gli accessi per email e siti: la password era spesso costituita da variazioni della parola “passwOrd” usata per più siti. Un errore che qualsiasi guida per la sicurezza invita a non fare. Come se non bastasse, nessuno dei dati sensibili (come quelli relativi ai clienti) era criptato: tutto in chiaro sui server aziendali. Infine, dai dati violati risulta che i pc aziendali venissero usati per questioni personali (come scaricare film dai torrent, oppure navigare su YouPorn). Comportamenti superficiali, insomma, per un’azienda che dovrebbe considerare il fattore sicurezza tra i più importanti. In più, i dati diffusi non sono di poco conto. A quanto pare, sono stati resi pubblici scambi di mail, file audio, credenziali per i login, contratti con i vari clienti. Il danno per l’immagine dell’azienda è enorme: secondo le voci che circolano, non ancora ufficiali, tra gli Stati con cui l’azienda faceva affari, ce ne sarebbero alcuni poco democratici (come il Sudan o l’Oman) che avrebbero usato i suoi servizi per controllare attivisti per i diritti umani, giornalisti e avvocati. Alcuni esperti in rete riportano anche una seconda e grave questione e cioè che l’azienda avrebbe tenuto una backdoor in ogni programma venduto: significa che poteva accedervi autonomamente e pare che i clienti non ne fossero a conoscenza. Se volete approfondire la questione, su attivissimo.blogspot trovate tutti gli aggiornamenti.