Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Matteo Brandi : 5 Settembre 2024 08:20
Questa è la storia di Max, il fondatore di un e-commerce specializzato in dispositivi tecnologici: una storia di pura invenzione (perdonerete la mia vena di scrittore) per introduttore un altro dei OWASP TOP 10 (qui il sito ufficiale ): “Identification and Authentication Failures” cioè i fallimenti di identificazione ed autenticazione.
Questa storia ci insegnerà alcuni accorgimenti per aiutare a prevenire i fallimenti di identificazione ed autenticazione in un e-commerce.
Da quando Max ha creato il suo e-commerce, questo non ha fatto che crescere con il fatturato. La vasta gamma di prodotti unita alla puntuale assistenza, ha fatto dell’e-commerce di Max un punto di riferimento per gli appassionati. Ma questa non è una storia di successo. É una storia di perdite finanziarie, multe e di perdita di fiducia dei clienti. Questo è il palcoscenico di un incidente informatico.
Supporta RHC acquistando il Corso CTI:
Supporta RHC attraverso:
Le cose, in genere, iniziano da qualcosa di molto piccolo, quasi insignificante. Max prestava attenzione alla sicurezza informatica, pensava di farlo al meglio. Oltre all’e-commerce utilizzava molti altri servizi online. La password che usava era complessa e faceva sempre il logout dalle applicazioni. Era convinto che bastasse.
Visto che la password era complessa e pensava che non fosse una buona pratica segnarla in foglietti in bella vista, usava sempre la stessa in modo tale da ricordarla, dovendola inserire più volte al giorno quindi…servizi diversi, stesse credenziali.
Inoltre per l’account di amministratore del suo e-commerce, non era presente la MFA (Multi Factor Authentication), ritenuta una noia. La password era complessa e tanto bastava. Non era presente neanche un time-out per login errati. Aveva paura di essere chiuso fuori.
Quella mattina, quando si collegò all’e-commerce tutto era sparito ma nel back-end trovò un file con la richiesta di riscatto di 3 bitcoin per avere indietro i dati e perché questi non fossero venduti nel Dark Web. Max si sentì scosso fino alle fondamenta. I backup più recenti erano online ed anche quelli erano stati rimossi. Ma quello che più lo sconvolgeva era la possibilità che i dati dei clienti fossero venduti dai trafficanti. Chiamò immediatamente il team di sviluppo che si mise al lavoro. Furono giorni frenetici.
Alla fine capirono il problema: le credenziali di Max, che erano sempre uguali in tutti i servizi online, erano state trafugate da uno di questi e finite in un grande database molto diffuso negli ambienti.
I criminali, provando tutto il database, avevano trovato la combinazione giusta. Non essendoci poi time-out o ban per tentativi errati o MFA, l’accesso era stato veloce.
Max ha subito delle perdite che ancora non ha del tutto recuperato: i giorni di fermo, la multa, la fiducia dei clienti, ma è determinato a ricostruirla diventando più forte di prima. Adesso utilizza credenziali diverse per diversi servizi online e per il suo e-commerce ha attivato sia il time-out dopo alcuni tentativi errati che il ban dell’IP (dopo molti tentativi) oltre che il Multi Factor Authentication.
“Oggi segna il ritorno della fiducia. La lezione più grande che abbiamo imparato è che la sicurezza informatica non è mai una destinazione finale, ma un viaggio di continuo miglioramento. Spero che la mia storia possa servire ad altri imprenditori: investire nella sicurezza informatica non è più una scelta ma un imperativo assoluto.”
A Max gli auguri di una pronta ripresa.
Matteo Brandi
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009