lunedì 11 settembre 2017

Caso Equifax: rubati i dati sensibili di 143 milioni di utenti


Equifax è una "consumer credit reporting agency", cioè un ente statunitense che raccoglie dati riguardanti le abitudini e l'affidabilità dei consumatori. E', per capirsi, il soggetto a cui si rivolge una banca ad esempio, per capire se la persona che gli chiede un prestito sia affidabile o meno. La sensibilità dei dati dovrebbe essere quindi chiara, dato il ruolo di Equifax. Equifax ha dichiarato due giorni fa di essere stata vittima di un attacco hacker durante il quale gli attaccanti sono entrati in posesso dei dati sensibili riguardanti 143 milioni di clienti. E si, il numero è già impressionate: ancora più paura però desta il tipo di dati sottratti. Lo analizziamo come un case studies, che esemplifica perfettamente come trascurare la sicurezza informatica non solo esponga a grandi rischi, ma produca errori e rischi a catena. 

Che cosa è accaduto?
Stando a quando dichiarato da Rick Smith, amministratore delegato di Equifax, gli attaccanti sono entrati in possesso di nomi, numeri di previdenza sociale, data di nascita, indirizzi e, in alcuni casi, il numero della patente, compagnia assicurativa, la maggior parte dei dettagli bancari ecc.. 


Oltre a ciò, i criminali hanno ottenuto i numeri di carta di credito di oltre 210.000 clienti e documenti contenenti ulteriori informazioni personali riguardanti altri 182.000 clienti. 
Infine sempre Equifax ha comunicato che gli attaccanti avevano limitati l'accesso ai dati personali ad alcuni cittadini britannici e canadesi, ma ad oggi non se ne conosce il numero complessivo.
Nella maggior parte dei casi, gli attaccanti ottengono accesso solo ad un numero limitato di informazioni, come nomi, indirizzi, numeri di carta di credito. Una fuga di dati di così ampia dimensione con un tale livello di sensibilità dei dati rubati è un evento davvero raro, nonché un pericolosissimo precedente. Detenere infatti informazioni del calibro di quelle rubate ad Equifax può consentire una lunga serie di azioni criminali e fraudolente: dalla costruzione di profili e account falsi per svolgere operazioni e transazioni fraudolente, al fare dichiarazioni fiscali illegali e convalidare account falsi fino a rubare quelli originali e così via...

L'azienda ha comunicato di aver scoperto la breccia il 29 Luglio, ma ha comunicato il furto dei dati ai clienti soltanto dopo un mese: un tal lasso di tempo ha precluso agli utenti ogni possibilità di intervenire tempestivamente a difesa della propria privacy. 

Errori su errori: come è successo?
La dinamica ancora non è chiara, in ogni caso l'accesso ai dati è stato ottenuto a causa di una vulnerabilità sul sito web di Equifax: questa è stata sfruttata con exploit per ottenere l'accesso non autorizzato ad una lunghissima serie di file tra il Maggio e il Luglio 2017. 

Il CEO di Equifax ha annunciato l'attivazione di un servizio gratuito che consente ai clienti di verificare se i propri dati siano o meno ricompresi nella fuga di dati. Il sito per la verifica però usa un sito WordPress di riserva, di sicuro non la migliore tecnologia per eseguire siti sicuri. Oltre a ciò, visto che il sito richiede, per l'accesso alle informazioni personali, di digitare il numero di previdenza sociale, in pochissimo tempo OpenDNSA lo ha contrassegnato come sito di phishing. Addirittura la pagina di login di Equifax mostra codici di debug che potrebbero essere utili a farsi un'idea di come funziona la rete interna aziendale. 

Nessun commento:

Posta un commento