VINTI
Non si sa per quanto tempo e per quale motivo il documento contente i dati sensibili relativi alla sicurezza degli aeroporti gestiti dalla Metropolitan Washington Airport Authority (MWAA) è stato visibile al pubblico del web, ma è chiaro che in molti l’hanno letto stando a quanto riportato da NetworkWorld e confermato dallo steso ente di controllo.
Si tratta di un file denominato Statement of Work (SoW) in cui generalmente sono esposte le priorità e le criticità di una struttura, con l’elenco dei lavori da portare a termine e quelli da iniziare. Nel caso di Washington, si tratta di un SoW molto delicato, perché relativo agli interventi sui sistemi di sicurezza dell’aeroporto internazionale Dulles e di quello nazionale Reagan.
Informazioni a cui chiunque poteva accedere, quindi anche criminali informatici e gruppi terroristici, che solo da pochi giorni non sono più raggiungibili. Come ha spiegato il portavoce del MWAA, Rob Yingling, “Non possiamo sapere quanto tempo questo documento è stato disponibile in rete, probabilmente per un lasso di tempo troppo lungo rispetto lo standard“.
Matthijs Koot, un professionista indipendente nell’internet security service market, è stato tra i primi ad accorgersi che il SoW era troppo ricco di dettagli: “A prima vista sembrava un qualsiasi testo sullo stato dei lavori di una qualsiasi agenzia e struttura, che sia pubblica o privata non fa differenza, poi ho letto troppe volte il termine sicurezza elettronica e informatica, fino a scovare la piantina esatta dell’intero sistema di sicurezza dell’aeroporto e le strategie adottate per la sua difesa. Il Dulles e il Reagan erano praticamente allo scoperto“.
Non è così inusuale che uno State of Work venga reso pubblico e il tempo di esposizione varia a seconda dell’importanza del file: più è importante, meno deve essere visualizzato. In questo caso, però, qualcosa o qualcuno, ha reso le pagine sulla sicurezza di due degli aeroporti più frequentati al mondo di pubblico dominio e senza effettuare uno screening preventivo per rendere inaccessibili i dati più sensibili.
Secondo alcune fonti, i dati in questione sono stati raggiungibili da chiunque dai primi di febbraio al 20 settembre circa (giorno della rimozione del documento da parte del MWAA). Ora la gestione della sicurezza è stata affidata a TYCO Security, come anche molti degli appalti sui lavori ancora da assegnare. L’autorità per la sicurezza dei due aeroporti civili ha assicurato che l’intero sistema di sicurezza sarà rafforzato e che gli standard sono comunque tra i migliori.
