Redazione RHC : 31 Marzo 2023 08:13
Non è scontato da parte di piccole, medie e anche grandi imprese fornire spiegazioni sui propri incidenti di sicurezza. A maggior ragione, al termine di una analisi, non è facile avere dettagli tecnici quando c’è stata esfiltrazione dei dati, ma anche quando (almeno dalla nostra esperienza) non c’è stata.
Questo può dipendere da molti fattori. A volte per una mancanza di cultura nell’affrontare una crisi, oppure per una carenza intrinseca di conoscenza della sicurezza informatica e quindi nelle analisi tecniche successive.
Ma soprattutto, perché in Italia vige la rigorosa regola di “mai esporci”. Cosa totalmente sbagliata soprattutto quando c’è stata esfiltrazione dei dati. Infatti la trasparenza e l’etica premiano sempre di fronte ai propri clienti (che sono il bene più prezioso di ogni organizzazione). Pertanto risulta mandatorio fornire informazioni rapide su cosa si sta succedendo e come si sta reagendo ad una crisi.
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ma per fortuna in questo caso non c’è stata esfiltrazione dei dati.
Nella giornata di ieri è arrivata in redazione una mail di delucidazione da parte della Banca Popolare di Sondrio, relativamente ad un post pubblicato sul forum underground in lingua russa XSS, seguito da un nostro articolo.
Nel post veniva riportato che il Threat Actors aveva a disposizione una serie di informazioni della Banca Popolare di Sondrio, come ad esempio l’accesso al server di posta elettronica ed una serie di account mail e relative password.
Nella mail arrivata in redazione, la Banca Popolare ha riportato che “grazie alla tempestiva comunicazione della Agenzia Nazionale della Cybersecurity” sono state effettuate delle analisi e verificato che l’informazione pubblicata dal Threat Actors era una fake news.
Infatti, effettuando delle prove di accesso con le credenziale riportate nei samples presenti nel post, non è stato possibile accedere agli account e il server di posta essendo nel cloud Microsoft (anche se non è specificato se si tratti si soluzione IaaS o SaaS), non ha registrato violazioni relative al servizio.
Di seguito il testo completo della mail arrivata in redazione:
Buona sera,
in merito alla vostra pubblicazione riferita alla nostra Organizzazione di cui al titolo in oggetto, riteniamo opportuno chiarire che, grazie alla tempestiva comunicazione della Agenzia Nazionale della Cybersecurity, ricevuta già in prima mattinata, abbiamo potuto avviare immediatamente le necessarie indagini al fine di chiarire l'origine di tutte le indicazioni presenti nel messaggio pubblicato.
In primo luogo, si sottolinea che il server di posta elettronica della Banca, citato nel post, è quello del cloud di Microsoft e, dunque, se ci fossero particolari criticità sarebbero emerse in modo più esteso di quanto riferito; si conferma, invece, che non risulta alcuna violazione del suddetto servizio cloud.
A fronte delle evidenze riferite ai n. 3 indirizzi di posta elettronica menzionati nel post segnalato, è stata immediatamente verificata, in prima battuta, l'inesattezza delle password indicate provandole direttamente sui sistemi centralizzati di autenticazione della Banca. Successivamente, sono state contattate direttamente le persone alle quali sono assegnati quegli indirizzi di posta elettronica che hanno confermato di non avere mai utilizzato tali password all'interno della Banca, riferendo piuttosto di averle utilizzate esclusivamente per la registrazione su alcuni servizi esterni all'Organizzazione.
Nello specifico è stato identificato, con ragionevole certezza, il servizio accessibile da internet su quale sarebbero state utilizzate quelle credenziali, del tutto estraneo alla nostra Banca, del quale sono state fornite le esatte generalità alla ACN al fine di segnalare e approfondire la possibile reale origine della violazione riscontrata.
Concludiamo, pertanto, dichiarando che trattasi di fake news, sgomberando il campo da qualsiasi diretto coinvolgimento della nostra Banca riferito ai dati riportati nel post e rassicurando infine circa la massima efficacia del nostro sistema di gestione della sicurezza delle informazioni.