- Numerosi furti di dati di alto livello verificatisi in anni recenti hanno un filo conduttore che implica il modo in cui le compagnie colpite gestiscono i server che conservano i dati sensibili, ha detto il “white hat” hacker professionista Marc Rogers.
- L’attacco hacker a Capital One di luglio è uno degli esempi più recenti. Sembra che l’hacker sospettato abbia ottenuto dati riguardanti i clienti e gli aspiranti clienti della compagnia che emette carte di credito sfruttando un errore di configurazione nell’infrastruttura cloud dell’azienda.
- Le compagnie dovrebbero innanzitutto capire meglio il genere di dati che hanno nel cloud per evitare che simili violazioni si ripetano in futuro, dice Rogers.
Il furto di dati sembra essere più frequente negli ultimi anni, con grandi aziende in settori diversi quali sanità, social media e finanza cadute vittime di hacker. E la risoluzione di simili intrusioni stanno diventando una problematica sempre più costosa per le compagnie; il costo di una violazione dei dati è cresciuto del 12% negli ultimi 5 anni, secondo dati di IBM Security pubblicati a luglio.
Le circostanze di una violazione dei dati variano sempre a seconda della situazione. Ma secondo Marc Rogers, white-hat hacker e capo della cybersecurity presso Okta, un’azienda di identity management per le imprese, è possibile rintracciare un aspetto comune a molti hackeraggi recenti, compreso il furto a Capital One di luglio.
Nel caso di molte imprese che sono state colpite negli ultimi anni tutto si riduce al modo in cui esse gestiscono i server impiegati per conservare informazioni sensibili, dice Rogers.
“Si tratta probabilmente del vettore più comune che ho osservo in tutte queste violazioni; il fatto è che sembra che le compagnie non sappiano quali data asset sono conservati nei server“, ha detto Rogers parlando con Business Insider. “E di conseguenza, [ci sono] molti sistemi insicuri collegati a internet cui è possibile accedere facilmente“.
Facciamo l’esempio della violazione a Capital One, che ha colpito 100 milioni di persone negli Stati Uniti e sei milioni in Canada. Pare che Paige A. Thompson, l’hacker sospettato, abbia ottenuto le informazioni sensibili sui clienti e sui richiedenti delle carte di credito di Capital One sfruttando un’errata configurazione del firewall nell’infrastruttura cloud aziendale.
Il Guardian ha riferito che anche la società di sicurezza Suprema, che gestisce una piattaforma biometrica chiamata Biostar 2, è stata vittima di un hackeraggio che ha esposto le impronte digitali di oltre un milione di persone come anche username e password non criptati ad agosto. Anche quella violazione dei dati può essere ricondotta al modo in cui le informazioni manomesse erano conservate e gestite, in quanto nella notizia si diceva che si trovavano su una banca dati accessibile al pubblico.
Secondo Rogers, rafforzare la sicurezza dei server che conservano questo genere di informazioni potrebbe ridurre enormemente il numero di violazioni dei dati.
“Se solo eliminassimo quel fattore, credo che si ridurrebbe il numero di furti di cui sappiamo di almeno la metà“, ha detto Rogers.
Al tempo stesso, i legislatori stanno insistendo affinché si intraprendano azioni per evitare che si verifichi di nuovo una violazione dei dati come quella che ha interessato Capital One. I senatori USA Ron Wyden (D-Oregon) ed Elizabeth Warren (D-Massachusetts) hanno scritto a ottobre una lettera alla Federal Trade Commission chiedendo un’indagine su Amazon a proposito della infiltrazione a Capital One, dato che le informazioni interessate erano conservate usando gli Amazon Web Services. Nella lettera, Wyden e Warren accusano Amazon di non avere applicato nei propri servizi di cloud lo stesso livello di sicurezza di altre aziende informatiche come Microsoft e Google.
Ma gli esperti hanno già detto che la responsabilità di assicurare i dati dovrebbe spettare alla società stessa, non al fornitore di servizi cloud.
“Il primo passo verso la riduzione di questi problemi è [di] liberarsi di questo falso senso di sicurezza da parte degli utenti cloud circa il fatto che Amazon se ne prenderà cura“, aveva detto in precedenza a Business Insider Ameesh Divatia, AD e cofondatore di Baffle, azienda di protezione dei dati
Rogers dice che le compagnie dovrebbero iniziare a capire quali dati sono là fuori eseguendo una scansione del loro spazio IP pubblico e dei loro asset esterni. In questo modo le compagnie potrebbero capire se ci sono dei dati non protetti da una password, o magari protetti da una password di default che potrebbe non essere forte.
“Ormai mi sto abituando a sentire le aziende che dicono ‘non avevamo idea che fossero là’”, ha detto Rogers. “Beh, in un modo o nell’altro queste società devono tenere meglio traccia dei propri dati”.
Lisa Eadicicco, Business Insider Italia