martedì 27 ottobre 2020

Data leak e data breach: i dieci giorni dell'orrore

Notizie di data leak e data breach si susseguono ormai senza sosta: che dipenda da un attacco informatico, da dipendenti infedeli, da cattive configurazioni poco importa, la scorsa settimana si è registrato un numero impressionate di violazioni e furto di dati. Nell'impossibilità di raccontare tutti gli eventi, ci concentriamo su alcuni in particolare, importanti dal punto di vista della quantità di dati violati e per le modalità di violazione.

- Il data breach di Nitro PDF
Nitro PDF è un sistema molto usato dalle aziende per creare, modificare e firmare digitalmente PDF e altri tipi di documenti digitali: dichiara più di 10.000 clienti aziendali e 1.8 milioni di utenti su licenza. E' utilizzato da aziende del calibro di Microsoft, Apple, Google ma anche da centinaia di aziende italiane ed europee. 

Il 21 Ottobre, Nitro Software ha inviato un alert all'Australia Stock Echange per notificare un "incidente di sicurezza a basso impatto": nell'alert si specificava che nessuno dei dati dei clienti era stato violato. La realtà non è affatto questa, purtroppo: l'azienda di cybersicurezza Cyble ha fatto sapere di aver rintracciato, in vendita nel dark web, i dati dei clienti e più database di documenti, per un totale circa di 1TB di documenti rubati. Tutti i dati sono stati sottratti dal servizio in cloud che Nitro Software offre ai clienti di Nitro PDF. L'intero pacchetto è in vendita all'asta con una base d'asta iniziale di 80.000 dollari. 

Ad esempio, spiegano da Cyble, il database "user_credential" contiene ben 70 milioni di record utenti contenenti indirizzo, nome completo, hash delle password, nome dell'azienda, indirizzo IP e altri dati correlati. Tra i dati rubati, fanno sapere, una parte consistente appartengono ad aziende del calibro di Amazon, Apple, Google, Microsoft ecc..

Per coloro che sono preoccupati e ritengono che vi sia la possibilità che i propri dati siano stati violati con questo breach, Cyble ha offerto un servizio dove è possibile verificare se i propri dati risultano in vendita in questo pacchetto.

2. Amazon licenzia dipendenti infedeli: vendevano i dati degli utenti a terzi
Come dicevamo però, non solo attacchi informatici: la vicenda che ha riguardato Amazin origina da alcuni dipendenti infedeli. Durante il weekend, su Twitter, centinaia di clienti di Amazon chiedevano spiegazioni rispetto ad una email, ricevuta dal servizio di supporto di Amazon, nella quale venivano avvisati di un data leak che avrebbe riguardato i loro dati personali. La domanda che ponevano era se si trattava di un attacco mirato che aveva colpito solo alcuni particolari clienti o se, invece, il leak avesse riguardato più persone. L'alert infatti avvisava che

"questa notifica è per avvisarti che il tuo indirizzo email è stato esposto a causa di una violazione della policy che regola i rapporti con le terze parti ad opera di un dipendente Amazon. Abbiamo licenziato il dipendente, riferito il data leak alle autorità competenti e collaborando con le stesse per la prosecuzione del processo. Nessuna altra informazione relativa al tuo account è stata condivisa. Questa situazione non dipende da alcuna tua azione e non ci sono motivi per prendere ulteriori provvedimenti. Ci scusiamo per l'incidente"


Il problema è che, incalzata dalle domande degli utenti, Amazon ha deciso di commentare ulteriormente la vicenda tramite un portavoce, che però ha parlato al plurale di dipendenti infedeli e non di un solo dipendente. Inoltre non è stati dichiarato pubblicamente il numero degli utenti riguardati. Una situazione che rende difficile, se non impossibile, avere un quadro chiaro della violazione. 

3. Attacchi ransomware senza sosta: dati rubati e pubblicati online
Infine, ne abbiamo già parlato spesso, prosegue a spron battuto l'attività dei gruppi ransomware che ormai, per prassi, accedono e rubano i dati delle proprie vittime prima di criptarli: li utilizzano così sia per rivenderli sul dark web che come ulteriore strumento di ricatto. 

Solo la scorsa settimana abbiamo parlato del caso Luxottica: colpita da ransomware, la grande azienda italiana aveva negato qualsiasi breach dei dati dei clienti o dei partner di terze parti, ma qualche giorno fa gli attaccanti hanno pubblicato online una parte dei dati a fini ricattatori. Ennesimo segnale del fatto che, ormai, ogni attacco ransomware va considerato necessariamente anche un data breach.

E' del tutto impossibile elencare tutti gli attacchi ransomware avvenuti la scorsa settimana, ne elenchiamo solo alcuni:

  • l'azienda di servizi IT francese Sopra Steria viene colpita da un attacco del ransomware Ryuk il 20 ottobre. L'attacco è stato portato dopo che la rete aziendale è stata infettata sia con trickBot che con BazarLoader che ormai sono comunemente usati dai gruppi ransomware per ottenere l'accesso alle reti tramite backdoor;
  • il resort sciistico e golfistico statunitense Boyne Resort colpito dal ransomware WastedLocker il 23 Ottobre: l'attacco ha colpito parte dei sistemi aziendali, a partire dal sistema delle prenotazioni, contenenti i dati sensibili di migliaia di clienti. WastedLocker è già saltato agli onori delle cronache per l'attacco a Garmin nel Luglio di quest'anno;
  • il gigante delle librerie USA Barnes & Noble è finito sotto attacco da parte del gruppo ransomware Egregor: oltre alla criptazione dei file presenti in rete, gli attaccanti hanno fatto subito sapere di aver sottratto dati non criptati come parte integrante dell'attacco. Parliamo di un brand che conta ben 600 librerie negli USA e conta anche un proprio servizio eBook e una eReader Platform: i dati sensibili in possesso di Barnes e Noble sono quindi tantissimi;
  • stanotte (26 ottobre) sono state colpite da attacco ransomware le acciaierie canadesi Stelco: non circolano ancora molte informazioni sull'attacco, ma pare accertato che si tratti di una versione del ransomware Ryuk.

Potremmo continuare, ma l'elenco di questi episodi già rende chiaro un problema che ormai si fa irrimandabile e sempre più urgente affrontare e non solo perchè il GDPR prevede serie sanzioni per chi non tutela i dati dei clienti: oltre a perdite finanziarie notevoli, sono in gioco anche credibilità, fiducia e fidelizzazione dei clienti, insieme al diritto individuale alla privacy dei clienti. Che si tratti di insider, i cosiddetti dipendenti infedeli, di attacchi ransomware, di dati fuoriusciti per cattive configurazioni (il classico caso di database con dati sensibili esposto online poichè non protetto da alcun meccanismo di autenticazione e indicizzato sui motori di ricerca) poco importa: la messa in sicurezza dei dati è irrimandabile e settimane come quella appena trascorsa ne sono una chiara e tangibile dimostrazione. 

Nessun commento:

Posta un commento