Imbarazzante come una notizia del genere passi sotto i radar o venga scansata come “eh vabbè dai, al giorno d’oggi capita a tutti, questi acher russi…”.
Assurdo che nessuno abbia il coraggio di fare un _mea culpa_, rivedere il proprio comparto informatico e riconfigurarlo affinché eventi del genere non si ripresentino.
“Questi pischelli vogliono farsi famosi attaccando una vittima d’eccellenza come noi del Pubblico”, “al giorno d’oggi (qualche ora fa) non sappiamo ancora se, quanti e quali dati siano stati trafugati”. Bene che siano riusciti a recuperare i file originali da backup precedenti, ma ciò non toglie che adesso anagrafiche mediche e altri dati sensibili degli utenti siano ora accessibili a chiunque sia abbastanza curioso o motivato a ottenerli. La cosa giusta da fare non era pagare il riscatto, era investire in sicurezza informatica, assunzione di personale qualificato che se ne occupasse e formazione dei dipendenti su queste tematiche, il tutto per prevenire l’accaduto.
Ma va bene, meglio sminuire la vicenda e farsi belli dicendo di aver fatto tutto il possibile, anche se magare l’ultimo degli stagisti aveva accesso a dati riservati che non riguardano la sua posizione, o l’infrastruttura è così obsoleta per ragioni di compatibilità che da bucarsi con un grissino.
Vediamo cosa risponderanno domani, sempre che se la reffino che il leak c’è stato eccome, altro che posticipo di tre giorni.
Imbarazzante, ancor più imbarazzante il volerlo far passare in sordina e nessuno che si prenda la responsabilità
Per chi ha capito quale tipo di dati sono stati pubblicati: significa che un’azienda può guardare il fascicolo medico di un candidato prima di assumerlo? Trova quel tipo di dati?
[removed]
Hanno ritardato solo di 5h rispetto all’ ora x annunciata
[removed]
I commentatori che vogliono sapere dove si trovano i dati che problema hanno? Giusto per sapere cosa li spinge a voler ficcare il naso in un leak di dati sensibili di migliaia di cittadini.
Se non saltabo teste è il veneto è una regione fallita
Le persone i cui dati sanitari sono diventati pubblici potrebbero intentare causa nei confronti dell’azienda sanitaria, immagino. Cioè, quanto verrebbe valutato un’eventuale risarcimento? E quanto sarebbe stato più ‘opportuno’ economicamente pagare quel riscatto (dato che mi pare ultimamente l’hacker avesse chiesto che i soldi venissero dirottati a una qualche organizzazione no profit, la questione etica sarebbe passata in un piano diverso)?
Titolo fuorviante i riscatti non si pagano.
Voglio proprio vedere chi si prende il disturbo di leggere tutta ‘sta roba.
Comunque ho letto da certi giornali che i dati sono pubblicati su un sito e quoto:
>Una premessa, in merito, va fatta: trovarli è stato difficilissimo, soprattutto se non si hanno nozioni informatiche di alto livello
Il sito l’ho trovato in cinque minuti con una ricerca su google, almeno è un indirizzo onion quindi un pelo più difficile da accedere ma non richiede “nozioni informatiche di alto livelllo”.
Edit: per quelli che dicono che sia troppo difficile dico solo che basta sapere il nome del ransomware e quello è scritto su quasi tutti i giornali credo.
Ho letto un paio di commenti molto critici sul fatto di pagare il riscatto e generalmente quando succedono queste cose lo dicono un po’ tutti che: “non ci si piega a pagare i riscatti!!”
Però, se posso dire la mia, è una gran cazzata. Sicuro bisogna investire molto di più sulla sicurezza e pubblicamente penso sia anche giusto fare la voce grossa MA per cose del genere i riscatti vanno pagati e si sta zitti. Pagalo senza farlo sapere ma pagalo. I danni che possono creare certe informazioni quando diventano di dominio (quasi) pubblico sono estremamente maggiori rispetto alla cifra richiesta.
Non ci si può permettere di non pagare, questa è la mia idea. Bisogna in primo luogo far di tutto perché non succeda ma se succede non si scaricano le proprie incapacità e responsabilità sulle persone potenzialmente coinvolte.
Tendenzialmente è corretto non pagare, dacché nessun riscatto ti dà la garanzia che i dati non vengano diffusi ugualmente.
È pur vero che alcuni collettivi cybercriminali godono di una certa “accountability”, ma il rischio, soprattutto se non sei un esperto del settore, è sempre quello di pagare ed essere comunque buggerati…
Avrebbero dovuto pagare? Sareste stati contenti che i soldi delle tasse dei cittadini fossero andati a finanziare dei criminali? Gli attacchi di tipo double extortion sono talmente facili da fare che ogni organizzazione è un possibile bersaglio, anche aziende private che hanno budget per la sicurezza informatica molto più alti.
[removed]
Visto che faccio parte di tale lista, posso agire per vie legali?
quale potrebbe essere la conseguenza di dati sanitari leakkati?
Qualcuno mi dice come trovarli in privato per favore? Vorrei capire quanti dati miei sono presenti la in mezzo visto che è la mia ulss
Scusatemi sono un attimo non informato al riguardo, questa cosa riguarda le informazioni di salute d8 cittadini italiani di una specifica regione italiana?
Scusate, qualcuno saprebbe come verificare se i miei dati sono nel data breach?
~~Supponendo che per qualche motivo la pagina del sito in questione si sia aperta magicamente in un pc che ho trovato~~
Dati sanitari dell’azienda ospedaliera di padova o dell’intera regione veneto?
Spero che qualche padovano si organizzi per fare una bella class action contro la USLL
25 comments
begin{rant}
Imbarazzante come una notizia del genere passi sotto i radar o venga scansata come “eh vabbè dai, al giorno d’oggi capita a tutti, questi acher russi…”.
Assurdo che nessuno abbia il coraggio di fare un _mea culpa_, rivedere il proprio comparto informatico e riconfigurarlo affinché eventi del genere non si ripresentino.
“Questi pischelli vogliono farsi famosi attaccando una vittima d’eccellenza come noi del Pubblico”, “al giorno d’oggi (qualche ora fa) non sappiamo ancora se, quanti e quali dati siano stati trafugati”. Bene che siano riusciti a recuperare i file originali da backup precedenti, ma ciò non toglie che adesso anagrafiche mediche e altri dati sensibili degli utenti siano ora accessibili a chiunque sia abbastanza curioso o motivato a ottenerli. La cosa giusta da fare non era pagare il riscatto, era investire in sicurezza informatica, assunzione di personale qualificato che se ne occupasse e formazione dei dipendenti su queste tematiche, il tutto per prevenire l’accaduto.
Ma va bene, meglio sminuire la vicenda e farsi belli dicendo di aver fatto tutto il possibile, anche se magare l’ultimo degli stagisti aveva accesso a dati riservati che non riguardano la sua posizione, o l’infrastruttura è così obsoleta per ragioni di compatibilità che da bucarsi con un grissino.
Vediamo cosa risponderanno domani, sempre che se la reffino che il leak c’è stato eccome, altro che posticipo di tre giorni.
<https://www.aulss6.veneto.it/Attacco-hacker-in-Ulss-6-Euganea>
<https://www.agid.gov.it/it/sicurezza>
<https://publiccode.eu/>
end{rant}
Imbarazzante, ancor più imbarazzante il volerlo far passare in sordina e nessuno che si prenda la responsabilità
Per chi ha capito quale tipo di dati sono stati pubblicati: significa che un’azienda può guardare il fascicolo medico di un candidato prima di assumerlo? Trova quel tipo di dati?
[removed]
Hanno ritardato solo di 5h rispetto all’ ora x annunciata
[removed]
I commentatori che vogliono sapere dove si trovano i dati che problema hanno? Giusto per sapere cosa li spinge a voler ficcare il naso in un leak di dati sensibili di migliaia di cittadini.
Se non saltabo teste è il veneto è una regione fallita
[https://www.redhotcyber.com/post/i-dati-della-ulss6-euganea-di-padova-sono-online-pubblicati-da-lockbit](https://www.redhotcyber.com/post/i-dati-della-ulss6-euganea-di-padova-sono-online-pubblicati-da-lockbit)
Qui per più info.
Le persone i cui dati sanitari sono diventati pubblici potrebbero intentare causa nei confronti dell’azienda sanitaria, immagino. Cioè, quanto verrebbe valutato un’eventuale risarcimento? E quanto sarebbe stato più ‘opportuno’ economicamente pagare quel riscatto (dato che mi pare ultimamente l’hacker avesse chiesto che i soldi venissero dirottati a una qualche organizzazione no profit, la questione etica sarebbe passata in un piano diverso)?
Titolo fuorviante i riscatti non si pagano.
Voglio proprio vedere chi si prende il disturbo di leggere tutta ‘sta roba.
Comunque ho letto da certi giornali che i dati sono pubblicati su un sito e quoto:
>Una premessa, in merito, va fatta: trovarli è stato difficilissimo, soprattutto se non si hanno nozioni informatiche di alto livello
Il sito l’ho trovato in cinque minuti con una ricerca su google, almeno è un indirizzo onion quindi un pelo più difficile da accedere ma non richiede “nozioni informatiche di alto livelllo”.
Edit: per quelli che dicono che sia troppo difficile dico solo che basta sapere il nome del ransomware e quello è scritto su quasi tutti i giornali credo.
Ho letto un paio di commenti molto critici sul fatto di pagare il riscatto e generalmente quando succedono queste cose lo dicono un po’ tutti che: “non ci si piega a pagare i riscatti!!”
Però, se posso dire la mia, è una gran cazzata. Sicuro bisogna investire molto di più sulla sicurezza e pubblicamente penso sia anche giusto fare la voce grossa MA per cose del genere i riscatti vanno pagati e si sta zitti. Pagalo senza farlo sapere ma pagalo. I danni che possono creare certe informazioni quando diventano di dominio (quasi) pubblico sono estremamente maggiori rispetto alla cifra richiesta.
Non ci si può permettere di non pagare, questa è la mia idea. Bisogna in primo luogo far di tutto perché non succeda ma se succede non si scaricano le proprie incapacità e responsabilità sulle persone potenzialmente coinvolte.
Tendenzialmente è corretto non pagare, dacché nessun riscatto ti dà la garanzia che i dati non vengano diffusi ugualmente.
È pur vero che alcuni collettivi cybercriminali godono di una certa “accountability”, ma il rischio, soprattutto se non sei un esperto del settore, è sempre quello di pagare ed essere comunque buggerati…
Avrebbero dovuto pagare? Sareste stati contenti che i soldi delle tasse dei cittadini fossero andati a finanziare dei criminali? Gli attacchi di tipo double extortion sono talmente facili da fare che ogni organizzazione è un possibile bersaglio, anche aziende private che hanno budget per la sicurezza informatica molto più alti.
[removed]
Visto che faccio parte di tale lista, posso agire per vie legali?
Ci vediamo tra qualche giorno quando anche i dati della [ASL Napoli 3](https://www.redhotcyber.com/post/la-asl-napoli-3-sud-%C3%A8-stata-violata-da-sabbath-ransomware-1-5gb-di-dati-sono-online) saranno pubblicati.
quale potrebbe essere la conseguenza di dati sanitari leakkati?
Qualcuno mi dice come trovarli in privato per favore? Vorrei capire quanti dati miei sono presenti la in mezzo visto che è la mia ulss
Scusatemi sono un attimo non informato al riguardo, questa cosa riguarda le informazioni di salute d8 cittadini italiani di una specifica regione italiana?
Scusate, qualcuno saprebbe come verificare se i miei dati sono nel data breach?
~~Supponendo che per qualche motivo la pagina del sito in questione si sia aperta magicamente in un pc che ho trovato~~
Dati sanitari dell’azienda ospedaliera di padova o dell’intera regione veneto?
Spero che qualche padovano si organizzi per fare una bella class action contro la USLL