Un’operazione di spionaggio immensa, di cui i cittadini e il governo statunitense pagheranno le conseguenze per anni. Il furto di dati subito dalla Us Office of Personnel Management (Opm), scoperto ad aprile di quest’anno ma risalente a mesi prima, è in realtà molto più grave di quanto non si pensasse: non sarebbero 4,2 milioni, ma circa 21,5 milioni i profili hackerati. Profili contenenti dati sensibili e altri, come il numero di previdenza sociale (che negli Stati Uniti funge anche da codice fiscale) utilizzabili per accedere ad account o per sferrare attacchi futuri.
L’operazione sarebbe andata avanti per mesi, prima di essere scoperta ad aprile in seguito all’adozione di un nuovo strumento di cybersecurity. Figuraccia a parte, il danno è grave nella sostanza sia per i numeri in gioco, sia per la tipologia di dati trafugati a semplici cittadini e anche a dipendenti del governo federale. Ieri la Opm ha ammesso che i criminali hanno potuto accedere a tutti i record creati dall’anno Duemila in poi, e forse anche a quelli meno recenti.
Nel “bottino” dell’operazione rientrano anche 1,8 milioni di profili di mogli e figli e 1,1 milioni di profili contenenti impronte digitali, informazioni mediche, dati bancari, oltre a password e username impiegati per accedere a servizi online e richiedere lo status di “security-clearance”, che l’Opm può rilasciare.
Chi è stato? Il direttore dell’Fbi, James Comey, ieri ha parlato di operazione di spionaggio diretta da un Paese straniero e non da un gruppo di cybercriminali “privato”. E in effetti con i dati sottratti, a detta delle società di sicurezza che hanno commentato l’accaduto, un’agenzia di intelligence governativa potrebbe vivere di rendita per anni, utilizzandoli per esempio per anticipare le mosse di un’ambasciata o per ottenere informazioni sensibili (mediche, familiare, economiche) su dipendenti pubblici. James Clapper, l’attuale director of National Intelligence degli Stati Uniti, si è spinto ancora oltre puntando il dito contro presunti hacker cinesi, definiti come l'attuale sospetto numero uno. La portavoce dell’ambasciata cinese a Washington, Zhu Haiquan ha definito l’accusa come “infondata e ipotetica”.
In attesa di scoprire (forse) il colpevole, una prima immediata conseguenza del fattaccio potrebbero essere le forzate dimissioni del direttore dell’Opm, Katherine Archuleta, invocate da diversi senatori che la incolpano di aver reagito in modo lento e inadeguato alla scoperta dell’attacco. Archuleta non è intenzionata a presentarle e ha addossato la responsabilità all’infrastruttura It obsoleta e inadeguata dell’agenzia, un’infrastruttura che sotto la sua direzione era in corso di ammodernamento.
L’Office of Personnel Management si è affrettato a pubblicare sul suo sito una serie di raccomandazioni e procedure utili per verificare di non aver subito un attacco. Per tre anni, inoltre, offrirà gratuitamente ai 21,5 milioni di cittadini coinvolti nell’incidente servizi di supporto, monitoraggio contro le frodi finanziarie e copertura assicurativa contro i furti di identità.