In questo episodio, ho affrontato il tema della criminalizzazione dei ricercatori di sicurezza, prendendo spunto dal caso di Connor Goodwolf, noto anche come David Leroy Ross, citato in giudizio dalla città di Columbus, Ohio. Tutto ha avuto inizio nel luglio 2024, quando Columbus ha subito un attacco ransomware da parte del gruppo Rishida. L'amministrazione cittadina ha dichiarato pubblicamente che i sistemi non erano stati criptati e che non c'erano state fughe di dati. Tuttavia, il gruppo criminale ha rivendicato l'attacco, affermando di aver sottratto 6,5 terabyte di dati sensibili, inclusi credenziali dei dipendenti e registrazioni delle videocamere.
Goodwolf ha contestato le dichiarazioni ufficiali, dimostrando che i dati rubati contenevano informazioni non criptate e personali. La sua azione ha scatenato una reazione legale da parte della città, che lo ha accusato di gestione negligente e illegale dei dati, cercando di ottenere un'ingiunzione per fermare ulteriori diffusioni e chiedendo danni per 25 mila dollari.
Questo caso mette in luce un problema più ampio e preoccupante: la tendenza a trattare i ricercatori di sicurezza come criminali piuttosto che come alleati nella protezione dei dati. Questo atteggiamento scoraggia la ricerca e la segnalazione di vulnerabilità, lasciando le falle di sicurezza aperte ai criminali. Inoltre, la discrepanza tra le dichiarazioni ufficiali e la realtà espone i cittadini a rischi maggiori, privandoli della possibilità di proteggersi.
Ho sottolineato che la trasparenza e la gestione efficace degli incidenti di sicurezza sono cruciali. La criminalizzazione dei ricercatori non risolve i problemi, ma li amplifica, attirando maggiore attenzione mediatica e peggiorando la situazione. Ho anche accennato ai tentativi di modificare la normativa europea per proteggere chi segnala problemi di sicurezza, un passo necessario ma ancora insufficiente.
Concludendo, ho esortato le aziende a non citare in giudizio chi espone vulnerabilità, poiché ciò non fa altro che aggravare i problemi. Ho utilizzato un'immagine iperbolica per descrivere le conseguenze di tali azioni, sottolineando l'importanza di una gestione più aperta e collaborativa della sicurezza informatica.
In questa Puntata
La criminalizzazione dei ricercatori di sicurezza informatica continua a essere un problema significativo, come dimostra il caso di Connor Goodwolf, citato in giudizio dalla città di Columbus per aver esposto la verità su un attacco ransomware. Nonostante le dichiarazioni ufficiali minimizzino l'accaduto, l'accesso ai dati sensibili da parte dei criminali evidenzia gravi lacune nella gestione della sicurezza e nella trasparenza verso i cittadini.