Eccoci alla puntata numero 79 di Cronache Digitali!

Ultima puntata prima di una breve pausa estiva. Ringrazio innanzitutto coloro fino ad oggi si sono iscritti alla mia newsletter (puoi farlo cliccando qui) e quelli che mi hanno chiesto il contatto su LinkedIn: nel mese di Agosto ci sarà una piccola sorpresa proprio su questo social network, quindi... rimaniamo in contatto!

Come sempre la puntata è fruibile anche sul Podcast.

🙏
Questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

Le minacce ricevute da IntelX.

la home page di IntelX

Per chi non lo conoscesse, IntelX è un motore di ricerca che indicizza dati presenti del dark web ma non solo, in particolar modo permette di trovare informazioni che sono state sottratte e poi condivise.

Creato nel 2018 da Peter Kleissner è oggi uno strumento utilizzato da molti ricercatori di cybersecurity perché, in sintesi, permette di capire se ci sono informazioni personali o sensibili in rete.

E' quindi un ottimo strumento per quella che viene chiamata threat intelligence, quella attività volta a scovare utili indizi che possono essere un primo segnale di un attacco informatico.

Sappiamo infatti come la prima azione che compie un criminal hacker per compromettere un sistema, sia quella dell'analisi del proprio bersaglio, raccogliendo quante più informazioni pubbliche siano presenti in rete.

IntelX offre i propri servizi sia nella versione gratuita, con ovvie limitazioni, che nella versione a pagamento, fornendo anche delle API, cioè la possibilità di integrare le proprie funzioni direttamente in una piattaforma proprietaria.

Per questi motivi, sovente IntelX viene utilizzato anche per scopi non legittimi: nelle ultime settimane ha attirato la mia attenzione un tweet di IntelX dove la società dichiara di essere stata vittima di minacce molto pesanti:

Cosa è successo?

Sembra, da quanto dichiara la stessa IntelX, che qualche criminal hacker abbia minacciato i fondatori, con l'obiettivo di intimidirli e cercare in qualche modo di bloccare le attività del motore di ricerca.

Come dicevo prima, IntelX è una risorsa molto preziosa per l'analisi preventiva degli attacchi informatici ed evidentemente questa attività da fastidio a qualcuno.

Le minacce non sono passate inosservate: IntelX si è prontamente mossa comunicando tutto alle autorità competenti.

Inoltre, prassi oramai diventata quasi quotidiana, molti criminal hacker cercano di sfruttare i sistemi di IntelX per scopi illeciti, a volte tendando anche di non pagare il servizio (ad esempio, fingendosi appartenenti a scuole universitarie, per le quali il servizio è gratuito): anche in questi casi, IntelX ha prontamente bloccato gli account incriminati e segnalato il tutto alle autorità.

Una delle ultime minacce sembra riguardasse addirittura direttamente il CEO della società, per il quale era previsto un piano per la sua uccisione. In questo caso, IntelX ha interessato direttamente Cloudflare perché, come possiamo vedere dalla missiva, il criminale utilizzava i servizi del famoso provider:

Insomma, una brutta storia che speriamo però abbia un lieto fine. Tutto ciò ci fa riflettere ancora una volta sull'importanza dei sistemi di analisi preventiva che assumono un ruolo fondamentale per mettere in sicurezza le proprie aziende.

Data Breach: il caso Vittoria Assicurazioni (finito bene).

Un caso finito "bene". Website Planet è una società che fornisce servizi di digital marketing, realizzazione siti web, ma ha anche un team di ethical hacker che si occupa di verificare lo stato di salute - se così possiamo dire - delle applicazioni web.

L'obiettivo è quello di verificare che non ci siano vulnerabilità che possano essere sfruttate ad un attaccante per compromettere il sistema o peggio ancora rubare informazioni personali o sensibili.

In un post sul loro sito, il team di ethical hacking pubblica un caso recente, riguardante Vittoria Assicurazioni, uno dei principali gruppi assicurativi italiani.

In sostanza i ricercatori hanno scoperto che Vittoria Assicurazioni aveva lasciato due bucket S3 senza alcuna password di accesso e nessun protocollo di criptazione dei dati.

"Two of the company’s Amazon buckets were misconfigured, left without any password protection or encryption controls in place. Vittoria Assicurazioni’s buckets contained almost identical datasets with each one exposing over 970,000 files, totaling around 280GB of data per bucket. "

In sostanza era possibile accedere a questi bucket ed accedere a più di 280GB di dati, contenenti informazioni afferenti a moltissime persone, si stima tra 30 e 800 mila.

Ma cos'è un bucket S3? E come è possibile un errore del genere?

Un bucket S3 è un elemento dell'architettura cloud di Amazon AWS. In sostanza è un contenitore per i dati. Possiamo inserire in un bucket file di ogni tipo, per memorizzarli o elaborarli successivamente. Un po' come facciamo con il nostro hard disk presente sul computer.

Ogni bucket però ha poi dei sistemi di sicurezza che lo rendono accessibile solo a chi ne ha effettivamente il permesso: è possibile quindi creare accessi personalizzati e sicuri ma anche criptare i dati all'interno, in modo da avere un livello di sicurezza maggiore.

Il problema, soprattutto nelle organizzazioni più complesse, può essere che a volte ci si "dimentichi" di proteggere tali contenitori. Ed il risultato diventa una esposizione dei dati che può trasformare il tutto in uno dei peggiori incubi.

Non è la prima volta che succede, molte altre aziende hanno avuto problemi simili.

Per non incorrere in questi errorri, chi gestisce sistemi di una certa complessità ha il dovere di far effettuare dei controlli periodici, quelli che vengono chiamati vulnerability assessment, su tutto il perimetro dell'azienda, soprattutto quello in cloud, così da evidenziare eventuali problemi e correggerli.

Nel caso di Vittoria Assicurazioni la storia è a lieto fine perché la scoperta di questa vulnerabilità è stata fatta - come riporta il Website Planet Security Team - da un gruppo di ethical hacker che ha quindi prontamente informato la società della scoperta.

In realtà, nella timeline degli eventi, sembra che Vittoria Assicurazioni non abbia risposto prontamente alla segnalazione, infatti Website Planet è dovuta ricorrere all'aiuto del CERT Italiano:

Rimane il fatto del dal 28 Aprile fino al 13 Maggio, i dati non sono stati messi in sicurezza. Speriamo che nel frattempo, nessun criminal hacker se ne sia accorto....

T-Mobile paga per i data breach.

T-Mobile, il colosso mondiale della telefonia mobile, pagherà 350 milioni di dollari a fronte di una class action intentata da alcuni clienti per un data breach che ha impattato sembra più di 70 milioni di utenti nel mondo.

Inoltre, altri 150 milioni saranno destinati alla messa in sicurezza dei propri dati.

Finalmente! T-Mobile, tra le altre cose, ha subito negli ultimi anni parecchi attacchi informatici: a memoria, ricordo 4 data breach negli ultimi 3 anni.

E finalmente qualcosa sembra muoversi: non è possibile che una società che gestisca le nostre informazioni sia così esposta ad attacchi informatici di questo tipo che poi - come sappiamo - mettono in pericolo tutti gli utenti in quanto li espongono ad ulteriori attacchi di phishing mirato.

Una bella notizia quindi, prima di una piccola pausa estiva. Chissà se in futuro anche in Italia, visto l'alto numero di furto di informazioni, succederà qualcosa di simile....