giovedì 22 luglio 2021

Attacco ai server Aruba: esposti dati anagrafici, dati di fatturazione e password.

Aruba, uno dei giganti italiani dei servizi Internet e web, ha informato pochi giorni fa i clienti della violazione dei propri server: l'evento risale al 23 Aprile e ha comportato, così si legge nella comunicazione che Aruba sta inviando ai clienti l'esposizione di "dati anagrafici di fatturazione e quelli di login”. I clienti che sicuramente hanno visto esposti i propri dati hanno ricevuto una comunicazione specifica, ma la notifica è stata inviata a tutti i clienti.

La comunicazione che Aruba ha inviato a tutti i clienti

Una prima rassicurazione: i dati di login sono già stati disabilitati. I dati anagrafici però non sono "disabilitabili" e quindi è doveroso avvisare, come Aruba correttamente fa, dei rischi relativi al furto di identità o a truffe massive e campagne di phishing. Resta un evento allarmante e da monitorare perchè Aruba, con Infocert, è tra i maggiori fornitori di identità digitali e posta certificata PEC italiani e siamo già incappati diverse volte in pericolosissimi attacchi via PEC contro professionisti, enti e pubbliche amministrazioni.

L'attacco: cosa si sa
Aruba ha fatto sapere di aver bloccato un accesso non autorizzato "alla rete che ospita dei nostri sistemi gestionali, ma nessun dato è stato cancellato né alterato”. I dati, fanno sapere, non sono stati né modificati né sottratti ma solo visualizzati mentre l'accesso illegittimo è stato celermente chiuso. Non risulterebbero, nel corso dei mesi di indagine, evidenze di pubblicazione o vendita di questi dati nel dark web né, tantomeno, è stata recapitata alla società alcuna richiesta di riscatto. Un'affermazione rassicurante, ma difficile da verificare considerando che il furto di servizi certificati è un obiettivo molto interessante per i cyber criminali. L'attività ispettiva in loco del Garante per la protezione dei dati personali è stata sospesa a causa del Covid, contrattempo che ha portato il Garante a "non sbottonarsi" riguardo l'entità dell'attacco.

Sembra che l'attacco sia stato un classico caso di supply chain attack, come già avvenuto per Kaseya e Solarwinds: anonimi cyber criminali avrebbero quindi sfruttato una (o più) vulnerabilità di un CMS di terze parti che Aruba utilizza per pubblicare le guide all'uso dei propri servizi. 

Quali rischi corrono i clienti?
Le comunicazioni di Aruba invitano gli utenti a prestare massima attenzione e cautela, a causa dei rischi che un data breach può determinare, ovvero la “sottrazione fraudolenta di codici riservati, accessi indesiderati, versamenti di denaro a società o enti inesistenti sono le conseguenze più conosciute delle truffe online veicolate da email o SMS che sembrano provenire da fonti affidabili, presentando loghi di aziende note, banche o addirittura di enti pubblici”. 

I dati esposti sono da considerarsi automaticamente anche rubati?
L'evento ha suscitato non poco dibattito, piuttosto naturale considerata la posizione "di risalto" occupata da Aruba nel cyber panorama nazionale, tanto più dopo la sua candidatura come fornitore dei servizi cloud nazionali della Pubblica amministrazione. Infatti, nonostante l'azienda abbia specificato che i dati sono stati solo letti tramite un accesso che è poi stato immediatamente chiuso, molti esperti hanno sottolineato come sia necessario ormai considerare ogni dato esposto anche come rubato. Il fatto cioè che i dati "non siano stati impattati nella loro integrità e disponibilità" vuol dire solo che non sono stati distrutti e non sono stati resi inaccessibili, non che gli anonimi attaccanti non vi abbiano avuto accesso. 

Le risposte, forse, arriveranno nei prossimi mesi se vi saranno evidenze di campagne phishing, truffe, furti di identità correlati agli utenti i cui dati hanno "perso confidenzialità". 

Nessun commento:

Posta un commento