Persone e aziende vs cybersecurity

 

Cosa si intende per cyber effetto farfalla? Ovviamente intendiamo quella impercettibile catena di eventi scatenati da una qualsiasi banale cyber-svista che porta conseguenze inimmaginabili sia nella nostra vita lavorativa che privata. Non si tratta di fantascienza, anche se può sembrarlo, ma di una semplice reazione a catena, che può accadere anche nelle situazioni più impensabili. Vi mostriamo il perché.
Durante i due appassionanti decenni di attività del nostro Red Team in materia di ethical hacking, le falle più impattanti, dei sistemi informatici aziendali, si sono rivelate essere quelle in apparenza più banali. Esatto: come, ad esempio, la gestione errata o imprudente della propria password aziendale o la progettazione dei siti web senza tenere in considerazione i requisiti minimi di sicurezza.
Vogliamo raccontarvi, in particolare, il caso del cliente che ci aveva chiesto l’analisi della propria infrastruttura per testare la “penetrabilità” dei propri siti web.
La prima fase delle attività di ethical hacking consiste nell’analisi del perimetro esterno dell’infrastruttura del cliente.
In uno dei siti oggetto di analisi, il cliente esponeva su Internet la pagina web in cui le persone potevano registrarsi per sottoporre la propria candidatura per le posizioni lavorative aperte.
Tramite una vulnerabilità di tipo “SQL Injection” piuttosto banale nella form di login, i nostri ethical hacker sono stati in grado di ottenere l’accesso al pannello amministrativo del sito web (realizzato direttamente dal cliente stesso).
Al suo interno, vi era una tabella di amministrazione che riportava in chiaro, oltre ai dati personali dei candidati (con tutte le responsabilità in ottica di GDPR) ed i relativi Curriculum Vitae in formato PDF, anche informazioni quali username e password utilizzati per l’iscrizione al portale da parte dei candidati.
Considerato che la maggior parte degli utenti utilizza purtroppo la stessa password per l’accesso a più portali nonché alla propria casella di posta elettronica, il cliente con questa vulnerabilità esponeva ad un attacco malevolo sia la propria infrastruttura, che indirettamente i dati personali e privati dei candidati iscritti.

Se si fosse verificato un tale scenario, i danni avrebbero potuto essere incalcolabili sia per il cliente vittima dell’intrusione che per i candidati, vittime ignare di secondo livello. Le conseguenze infatti sarebbero potute essere il danno di immagine e di reputazione del cliente, un accertamento e sanzione del Garante della privacy nonché il furto di identità con possibili danni economici per i candidati.

Ecco il “cyber effetto farfalla”: la banale vulnerabilità in un sito web può, a catena, portare a gravi conseguenze anche nella sfera personale degli individui che in qualche modo hanno con esso interagito. L’attività criminosa di chi esegue attacchi informatici consiste proprio nell’individuare le vulnerabilità che possono essere facilmente sfruttate per massimizzare il danno e il profitto. Il nostro compito è di anticiparli rendendo il cliente consapevole dei rischi e di implementare le misure necessarie a eliminare o ridurre tali rischi.

La morale di questa storia:
– far svolgere i security assessment per trovare le vulnerabilità nei propri applicativi e programmare le attività di remediation;
– adottare le best practices per la tutela della privacy e dei dati personali trattati;
– (rivolto a tutti) utilizzare sempre password complesse, diverse per ogni servizio (e-mail, social network, e-commerce, ecc.), in modo che la compromissione di uno di essi non si propaghi anche agli altri