La Commissione Europea ha reso noto di aver individuato un accesso non autorizzato alla piattaforma cloud che ospita i siti Europa.eu. L’intrusione, scoperta il 24 marzo, ha attivato immediatamente procedure di contenimento e monitoraggio: i siti stessi sono rimasti disponibili, mentre è stata avviata un’indagine per chiarire l’entità dell’evento e le componenti coinvolte.
Secondo fonti investigative esterne, tra cui Bleeping Computer, gli autori hanno ottenuto accesso tramite un account AWS e avrebbero esfiltrato oltre 350 GB di informazioni. Un episodio simile era già avvenuto all’inizio di febbraio, un dettaglio che rende prioritaria la revisione delle contromisure e la verifica dei processi interni di gestione del cloud.
Modalità dell’intrusione
Le prime evidenze raccolte indicano che l’accesso all’infrastruttura cloud è passato attraverso la compromissione di credenziali legate a un account AWS.
Gli investigatori ritengono molto probabile l’uso di ingegneria sociale, ovvero tecniche che manipolano persone e procedure per ottenere privilegi di accesso. Questa pista spiega perché, malgrado i sistemi di protezione, gli attaccanti siano riusciti a oltrepassare le difese senza intervenire direttamente sulle reti interne principali della Commissione.
Prove fornite dagli autori
Per dimostrare il controllo, i responsabili dell’intrusione hanno pubblicato screenshot che mostrano informazioni tratte da un server di posta elettronica dedicato ai dipendenti. Queste immagini sono state utilizzate come prova del furto e confermano che tra i dati ottenuti figurano elementi legati a utenti interni. La presenza di screenshot suggerisce anche una fase di esplorazione e raccolta mirata, non un’azione casuale o automatica.
Portata e natura dei dati sottratti
Le fonti riportano la sottrazione di oltre 350 GB di materiale, inclusi diversi database. La Commissione ha ammesso che i primi risultati dell’indagine indicano la perdita di dati pubblicati sui siti web, e ha informato gli enti dell’Unione che potrebbero essere coinvolti. Al contrario, la comunicazione ufficiale precisa che i sistemi interni critici non risultano compromessi al momento delle verifiche iniziali.
Rischio di pubblicazione
Gli autori dell’attacco non stanno chiedendo un riscatto in denaro: la strategia dichiarata è quella di rendere pubblici i materiali nei giorni successivi. Questo passaggio cambia la natura della minaccia: oltre alla perdita di riservatezza, aumenta il rischio reputazionale e operativo per le istituzioni e per i soggetti i cui dati potrebbero emergere online.
La gestione della comunicazione e delle notifiche agli interessati diventa dunque prioritaria.
Risposta della Commissione e misure adottate
Alla scoperta dell’intrusione sono state subito attuate contromisure tecniche per isolare l’accesso compromesso e ridurre l’esposizione. La Commissione ha dichiarato che i siti Europa.eu non hanno subito interruzioni di servizio grazie alle azioni di mitigazione. Inoltre, sono state avviate verifiche per comprendere la catena degli eventi e rafforzare le procedure di controllo sull’accesso al cloud.
È importante ricordare che alla fine di gennaio la Commissione aveva presentato un Cybersecurity Package volto a migliorare resilienza e capacità di difesa a livello europeo. Gli incidenti avvenuti in meno di due mesi evidenziano però che le misure proposte necessitano di attuazione rapida e di un aggiornamento continuo per rispondere a tattiche come l’ingegneria sociale e alle vulnerabilità legate a terze parti cloud.
Implicazioni e raccomandazioni
L’episodio sottolinea la criticità della gestione degli account e delle credenziali nelle infrastrutture cloud: politiche di accesso minime, autenticazione a più fattori e audit continui devono essere la norma. Inoltre, la collaborazione tra entità pubbliche, fornitori cloud e community di cybersecurity assume un ruolo centrale per condividere indicatori di compromissione e tecniche di risposta.
Infine, la trasparenza verso il pubblico e verso gli enti potenzialmente coinvolti è fondamentale: la Commissione ha già iniziato a notificare i soggetti interessati e a utilizzare i risultati dell’indagine per rafforzare le proprie capacità. Il caso rimane sotto analisi e la situazione va monitorata con attenzione, dato il possibile rilascio pubblico dei dati sottratti.
