Cos'è Successo
Nella serata di sabato 5 aprile 2025, un attacco informatico ha colpito la società Mooney Servizi, responsabile della gestione dell'applicazione dell'Azienda Trasporti Milanesi. Questo incidente ha messo a rischio le informazioni personali di migliaia di utenti che utilizzano l'app per acquistare biglietti e abbonamenti del trasporto pubblico milanese.
L'attacco non ha preso di mira direttamente l'infrastruttura di ATM, ma quelli dell'infrastruttura di archiviazione gestita da WIIT SpA, che ospita i dati di diverse aziende clienti di Mooney Servizi, tra cui i profili degli utenti dell'app ATM. Gli autori dell'attacco sono riusciti a copiare i dati sensibili trasferendoli su un sistema di archiviazione cloud esterno non autorizzato.
I dati rubati includono principalmente dati anagrafici, informazioni di contatto e dettagli relativi ai profili degli utenti registrati all'app. Fortunatamente, non sono stati compromessi dati bancari, credenziali di accesso all'app, né indirizzi di domicilio o residenza.
Perché è Avvenuto
L'attacco è stato possibile grazie a una vulnerabilità nella supply chain dei servizi cloud, che ha permesso agli attaccanti di accedere all'archivio informatico ospitato da WIIT SpA. Gli attacchi sfruttano spesso le debolezze nei sistemi di terze parti, che possono essere meno sicuri rispetto a quelli delle aziende principali.
Inoltre, l'utilizzo di un sistema di archiviazione cloud esterno non autorizzato ha reso difficile rimuovere i dati dalla rete, aumentando il rischio che possano essere diffusi o utilizzati in modo illecito.
Rischi per gli Utenti
La violazione comporta rischi significativi in termini di privacy, poiché i dati potrebbero essere utilizzati per tentativi di phishing, spam o altre attività fraudolente mirate. Il consiglio per gli utenti è fare attenzione a chiamate sospette ed e-mail che richiedono informazioni troppo dettagliate.
ATM ha attivato immediatamente contromisure per contenere i danni, rafforzando i sistemi di sicurezza informatica e limitando l'accesso ai propri sistemi da parte degli enti terzi autorizzati. L'evento è stato notificato al Garante per la Protezione dei Dati Personali e all'Agenzia per la cybersicurezza nazionale.
Le indagini sull'incidente sono tuttora in corso per definire l'esatta portata della violazione e identificare i responsabili dell'attacco. ATM e Mooney stanno collaborando per mitigare le conseguenze dell'incidente e rafforzare ulteriormente le misure di protezione dei dati degli utenti.
La Vulnerabilità
L’attacco che ha colpito l’app ATM ha messo in luce una vulnerabilità strutturale nella gestione dei dati in cloud, dovuta a una combinazione di scelte architetturali e di governance della sicurezza. I dati degli utenti ATM erano archiviati in un ambiente cloud condiviso, gestito da WIIT SpA per conto di Mooney Servizi, insieme a quelli di altri clienti. Questa configurazione multi-tenant, non prevedeva una segmentazione rigorosa tra i dati delle diverse aziende.
In pratica, i controlli di accesso erano generici e non applicavano il principio del minimo privilegio, lasciando così margini di manovra a chiunque riuscisse a violare il perimetro di sicurezza principale. Inoltre, la replica automatica dei dati su server secondari avveniva senza una cifratura end-to-end realmente efficace, aumentando il rischio di fuoriuscita di dati in caso di compromissione.
Molto spesso, in questo tipo di attacchi informatici rivolti a infrastrutture cloud, si riscontrano configurazioni errate dello storage che facilitano l’accesso non autorizzato ai dati. È comune che bucket di archiviazione, come quelli di Amazon S3, vengano configurati in modo tale da permettere trasferimenti di dati verso cloud esterni senza un’adeguata autenticazione. Inoltre, le API spesso non sono protette da sistemi di autenticazione a due fattori (MFA), e manca un monitoraggio attivo delle attività sospette. L’assenza di un sistema di logging dettagliato ovviamente ritarda il rilevamento degli attacchi e la risposta da parte dei team di sicurezza.
Le Conseguenze
A monte di tutto, si è verificata una fiducia eccessiva nella catena dei fornitori. ATM aveva delegato completamente la sicurezza a Mooney Servizi, che a sua volta si affidava a WIIT SpA senza effettuare verifiche periodiche di conformità agli standard di sicurezza o richiedere test di penetrazione obbligatori. Non erano inoltre previsti sistemi di allerta precoce per incidenti nella catena di fornitura, rendendo la reazione all’attacco più lenta e meno efficace.
Il meccanismo dell’exploit si è sviluppato in più fasi. Gli aggressori sono riusciti a ottenere l’accesso iniziale violando un account amministrativo di WIIT, probabilmente tramite credenziali rubate o tecniche di phishing. Da lì in poi, hanno potuto muoversi lateralmente all’interno dell’infrastruttura, sfruttando la mancanza di microsegmentazione per raggiungere l’area dati di Mooney e ATM.
Molto spesso, nella fase finale di attacchi informatici rivolti a infrastrutture cloud come questa, i dati vengono trasferiti verso bucket di archiviazione esterni, senza autorizzazioni adeguate. Questo avviene sfruttando API che non sono sufficientemente monitorate o protette, permettendo agli aggressori di spostare grandi quantità di dati senza essere rilevati. Inoltre, in alcuni casi, gli attaccanti possono creare backdoor attraverso ambienti virtualizzati come Docker, configurati in modo non sicuro, per mantenere un accesso persistente all’infrastruttura compromessa. Questi meccanismi rappresentano tecniche comuni e particolarmente efficaci negli attacchi moderni contro i sistemi cloud, evidenziando l’importanza di implementare controlli rigorosi su API, monitoraggio continuo e configurazioni sicure degli ambienti virtualizzati.
Le conseguenze di questa vulnerabilità sono state gravi: migliaia di profili utente (numero non ancora confermato da fonti ufficiali) sono stati copiati e resi potenzialmente disponibili per ulteriori attacchi, con il rischio di correlazione con altri dataset provenienti da precedenti violazioni. Inoltre, sono trascorse parecchie ore tra la violazione e la notifica ad ATM, un intervallo di tempo che ha reso più difficile la mitigazione dei danni. Questo caso dimostra come la maggior parte dei rischi di cybersecurity oggi risieda nella supply chain e sottolinea l’importanza di adottare un approccio zero-trust anche nei confronti dei fornitori di terzo livello.
Proteggi i tuoi Dati
In situazioni di data breach come questa, il nostro supporto può fare la differenza per la sicurezza dei tuoi dati e la gestione dell’emergenza. Offriamo assistenza specializzata per aiutarti a comprendere l’entità della violazione, identificare i dati potenzialmente esposti e adottare rapidamente le migliori contromisure.
Possiamo supportarti nell’implementazione di strategie di cybersecurity avanzate, normative come NIS2, e possiamo aiutarti nella formazione del personale per ridurre il rischio di incidenti futuri.
