Un attacco informatico ha colpito HSIN, la piattaforma per la condivisione di informazioni sensibili gestita dal Dipartimento della Sicurezza Interna degli Stati Uniti, e adesso le autorità americane stanno cercando di capire cosa sia successo davvero. La violazione riguarda un sistema usato ogni giorno da partner federali, statali, locali e del settore privato per scambiarsi dati riservati, e questo basta a far capire perché la faccenda venga presa molto sul serio.
L’intrusione è avvenuta nelle scorse settimane, per la precisione da qualche parte tra la fine di maggio e i primi di giugno. Dietro l’attacco ci sarebbe un autore della minaccia ancora sconosciuto, di cui al momento non si conosce né l’identità né eventuali legami con governi stranieri. Non è chiaro nemmeno se dai server siano stati portati via dei documenti, un dettaglio che pesa parecchio considerando la natura dei dati che passano da quella rete.
Cosa è successo ai server e al sistema SharePoint
Gli aggressori avrebbero preso di mira i server di HSIN insieme a un sistema SharePoint utilizzato per il lavoro collaborativo. Dopo la scoperta, l’Ufficio per l’Intelligence e l’Analisi del dipartimento ha avviato una valutazione dei danni, cercando di misurare quanto in profondità sia arrivata la falla.
Vale la pena ricordare cosa sia davvero questa piattaforma. L’Homeland Security Information Network serve a scambiare informazioni sensibili ma non classificate tra enti governativi, partner internazionali e aziende private. Gli utenti autorizzati possono accedere ai dati, inoltrare richieste ad altre agenzie, gestire operazioni, coordinare la sicurezza di eventi programmati, rispondere a incidenti e diffondere informazioni utili a proteggere le comunità. Il sistema regge comunicazioni in tempo reale, allerte e gestione degli incidenti, e viene usato anche per scambiare informazioni su persone sospette e minacce potenziali.
C’è poi un aspetto che rende il tutto ancora più delicato. Gli Stati Uniti stanno gestendo in questo periodo la sicurezza delle partite dei Mondiali di calcio ospitati sul loro territorio, e la preoccupazione è che la violazione possa aver esposto piani di sicurezza, coordinamento tra le agenzie o procedure di risposta.
La versione ufficiale del Dipartimento
In una dichiarazione, un portavoce del Dipartimento della Sicurezza Interna ha confermato l’incidente, tenendo però a precisare che i sistemi classificati non sono stati toccati. “Il Dipartimento della Sicurezza Interna è a conoscenza di un recente incidente informatico che coinvolge uno specifico ambiente legacy di condivisione delle informazioni, non classificato”, ha fatto sapere il dipartimento. E ancora: “Abbiamo agito immediatamente per isolare i sistemi colpiti, mitigare la vulnerabilità e avviare un’indagine forense completa. Non ci sono indicazioni che le reti classificate siano state coinvolte, e il sistema resta operativo per i nostri partner. Trattandosi di un’indagine in corso, al momento non possiamo fornire ulteriori dettagli operativi”.
Non è la prima volta che HSIN finisce nei guai. Nel 2023 la piattaforma aveva già subito un incidente di sicurezza, causato da una configurazione errata degli accessi legata all’errore di programmazione di un fornitore. Quell’errore, descritto in un promemoria interno del dipartimento, aveva impostato i permessi di accesso su “tutti” anziché su un gruppo ristretto di utenti autorizzati. Il risultato fu che informazioni riservate, tra cui dati sensibili di cittadini statunitensi e altre informazioni personali identificabili, si ritrovarono esposte a tutti gli utenti di HSIN.