Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la ricerca

I 10 peggiori data breach del 2018, un miliardo di account violati: è allarme

Grandi catene alberghiere, compagnie aeree, multinazionali dell’energia e delle componenti per PC: i criminal hacker non hanno risparmiato nessuno. Ecco un resoconto dei casi di furto di dati riservati più eclatanti del 2018 e i consigli per mitigare i rischi conseguenti ad un eventuale data breach

08 Gen 2019

Paolo Tarsitano


British Airways, Cathay Pacific, Saipem, TSMC, hotel Marriott: in comune, tutte queste multinazionali, hanno il fatto di essere rimaste vittime di alcuni dei più clamorosi data breach del 2018.

In totale, nei peggiori 10 data breach dell’anno appena concluso, i criminal hacker sono riusciti a violare oltre un miliardo di account: il dato, impressionante, è il risultato di una ricerca condotta da Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino e specializzata nella difesa delle aziende da parte dei pericoli del Web.

L’analisi di Hassan Metwalley, CEO della startup, parla chiaro: “il 2018 è stato un anno terribile per la sicurezza informatica e nel 2019 aziende e privati dovranno correre ai ripari: secondo il rapporto Clusit del settembre scorso, negli ultimi sette anni gli attacchi informatici nel mondo hanno registrato una crescita esponenziale (+240% nel 2017 rispetto al 2011) e nel 2018 il trend non sembra volersi arrestare”.

“La digitalizzazione delle aziende e delle amministrazioni”, aggiunge Metwalley, “si sta velocemente attuando, ma continuano a scarseggiare gli investimenti per il rinforzo delle infrastrutture informatiche pubbliche e private. Quello del cyber crime è invece un fenomeno che andrebbe combattuto con fondi e strumenti, poiché non riguarda soltanto la vita privata dei cittadini, ma sempre più anche il piano finanziario e geopolitico come dimostra il recente attacco al parlamento tedesco”.

Data breach: dati personali usati per attacchi mirati o rivenduti nel Dark Web

In genere, i criminal hacker riutilizzano tutta questa enorme mole di informazioni e dati personali per realizzare attacchi informatici mirati, “cuciti” sui singoli utenti, sui loro interessi, sulle esperienze passate e sulle connessioni familiari: in questo modo, riescono ad avere una probabilità di successo 7 volte maggiore rispetto ad attacchi standard. Altre volte, invece, monetizzano le loro malefatte rivendendo gli account sul mercato nero del Dark Web.

Bisogna poi tenere in conto che i data breach evidenziati da Ermes Cyber Security rappresentano il fenomeno solo in minima parte, in quanto sono stati presi in esame solo i casi di furto di dati confermati dalle aziende. Il numero complessivo di account violati, quindi, potrebbe essere enormemente più alto includendo anche tutti gli attacchi informatici negati dalle aziende o sospettati e scoperti dagli organi di stampa.

Ecco in dettaglio le caratteristiche salienti dei “top 10” data breach del 2018.

  1. Hotel Marriott, violati i dati di 500 milioni di ospiti

    I dati personali di oltre 500 milioni di ospiti del Marriott International, la più grande catena alberghiera al mondo, sono stati esposti agli hacker che tra il 2014 e il settembre 2018 hanno effettuato l’accesso illegalmente al database delle prenotazioni degli Starwood Hotels & Resorts. Il furto ha riguardato informazioni sugli ospiti come indirizzi, numeri di telefono, numeri di passaporto, numeri di carte di pagamento e rispettiva data di scadenza. Il data breach è stato denunciato nel novembre 2018.

  2. MyFitnessPal: svelate le abitudini alimentari di 150 milioni di utenti

    Alla fine di febbraio 2018 MyFitnessPal, l’app sulle abitudini alimentari di proprietà dell’azienda Under Armor, è stata hackerata con conseguente furto di dati di 150 milioni di utenti, relativi a nomi utente, indirizzi email e password. L’azienda ha tuttavia comunicato che non erano stati rubati dati di carte di pagamento che vengono raccolti separatamente.

  3. Quora: 100 milioni di profili social “bucati” dai criminal hacker

    A fine novembre Quora, la rete sociale dedicata all’informazione dove gli utenti possono pubblicare domande e risposte su qualunque argomento, ha scoperto che, attraverso un applicativo terzo non autorizzato, sarebbero stati compromessi i profili di 100 milioni di utenti. Tra i dati coinvolti i nomi, indirizzi email, password crittografate, domande e risposte degli utenti.

  4. MyHeritage: violati i dati di 92 milioni di alberi genealogici

    Il 4 giugno del 2018 la piattaforma MyHeritage, che permette di ricostruire gli alberi genealogici, ha annunciato di aver scoperto online un database contenente gli indirizzi email e le password crittografate di 92 milioni di suoi utenti. Secondo l’azienda non sarebbero però stati violati né divulgati ulteriori dati sensibili presenti nel sistema.

  5. Cambridge Analytica: il caso mediatico del 2018

    Uno dei casi più eclatanti di tutto il 2018 è sicuramente quello di Cambridge Analytica: nel 2015 l’app This is Your Digital life prometteva di prevedere la personalità degli utenti trasmettendo però impropriamente le informazioni a terzi, tra cui Cambridge Analytica, azienda di analisi dati assoldata anche dal Presidente Trump per creare annunci elettorali mirati. Solo 270.000 utenti di Facebook installarono effettivamente l’app incriminata, ma sfruttando le regole di condivisione dati delle reti di amicizie Facebook del 2015, l’app fu in grado di raccogliere informazioni su 87 milioni di utenti.

  6. Google+: il data breach che ha decretato la chiusura del social di Big G

    Il social network del gigante di Mountain View ha dovuto affrontare ben due pericolose vulnerabilità nel 2018. La prima a marzo che ha interessato 500.000 profili, la seconda, ben più grave, a dicembre con la violazione dei dati di ben 52,5 milioni di utenti. Proprio quest’ultimo data breach ha spinto i gestori della piattaforma ad accelerarne la chiusura ad aprile 2019.

  7. Facebook: i diari di 50 milioni di utenti alla mercé dei pirati

    Il 25 settembre 2018, gli ingegneri di Facebook hanno scoperto una grave falla che ha colpito ben 50 milioni di profili. Gli aggressori hanno sfruttato una vulnerabilità nel codice di Facebook che ha colpito la modalità “Visualizza come”, una funzionalità che consente alle persone di vedere come appare il proprio profilo a qualcun altro. Ciò ha permesso agli hacker di rubare i token di accesso a Facebook che potevano quindi essere utilizzati per prendere possesso degli account delle persone. I token di accesso sono l’equivalente di chiavi digitali che mantengono connessi i profili che hanno effettuato l’accesso a Facebook in modo che non debbano reinserire la propria password ogni volta che usano l’app.

  8. Chegg: 40 milioni di profili compromessi

    Il 19 settembre 2018 Chegg, società americana specializzata in servizi educativi e nell’affitto di libri di testo, ha scoperto che nei mesi precedenti un applicativo non autorizzato aveva ottenuto l’accesso a un database aziendale che ospitava i dati degli utenti di chegg.com. A causa di questa vulnerabilità, i nomi utente, indirizzi e-mail, indirizzi di spedizione e password crittografate di 40 milioni di utenti registrati attivi sono stati compromessi.ù

  9. Ticketfly: in chiaro i gusti musicali di 27 milioni di appassionati di concerti

    La famosa piattaforma di acquisto di biglietti per eventi e concerti Ticketfly è stata colpita a fine maggio da un grave attacco informatico che ha compromesso diverse informazioni personali inclusi nomi, indirizzi, email e numeri di telefono di ben 27 milioni di utenti. Secondo i gestori della piattaforma non sarebbero però state sottratte informazioni finanziarie come i numeri delle carte di credito.

  10. Sacramento Bee: rubati i dati di 19,5 milioni di lettori

    A febbraio, un hacker ha sequestrato due database gestiti da The Sacramento Bee, un quotidiano di Sacramento, in California. Uno degli archivi conteneva i dati di registrazione degli elettori della California forniti, per motivi giornalistici, dal Segretario di Stato, mentre l’altro database conteneva le informazioni di contatto archiviate per gli abbonati al giornale. A seguito del furto, i cyber criminali hanno richiesto un riscatto in cambio dell’accesso ai dati sequestrati. Il giornale ha rifiutato e cancellato i database per impedire che ulteriori attacchi li sfruttassero in futuro. Nei due database erano contenuti rispettivamente 19,4 milioni di utenti e 53.000 utenti.

I 10 peggiori data breach del 2018: quale lezione per le aziende

Una classifica, quella appena vista, molto particolare e che, in una società iperconnessa, dovrebbe far riflettere sull’importanza della protezione dei dati personali. Secondo Cristiano Campion, Cyber Insurance Specialist Allianz-Moscova & Partners, “i numerosi attacchi e data breach avvenuti nel corso del 2018, anno in cui il GDPR è stato recepito dagli Stati e dalle aziende europee, hanno evidenziato da una parte che la compliance delle aziende non è ancora piena e dall’altra che, nonostante l’adeguamento normativo, le aziende in sé non sono necessariamente più sicure”.

Dall’analisi di Campion è inoltre possibile trarre un’importante lezione valida per tutte le aziende e le organizzazioni pubbliche e private, grandi o piccole che siano: “la gestione in sicurezza dei dati aziendali è un argomento multi sfaccettato: è necessario che le aziende adeguino i propri processi al regolamento europeo, bisogna continuare a monitorare e migliorare la cyber security e per completare le protezioni le aziende dovrebbero assicurare il rischio residuo con una adeguata polizza cyber. Rischio che, comunque, è ineliminabile”.

Quello appena trascorso è stato un annus horribilis per quel che riguarda il cyber crime anche per Diego Gagliardo, COO Endian: “purtroppo, non possiamo fare nulla per proteggerci da questi data breach, perché ad essere attaccati sono servizi che in un modo o nell’altro usiamo quotidianamente, e su cui non abbiamo controllo. L’unica cosa che possiamo fare è cercare di ridurre l’impatto che questi eventi possono avere su di noi: dopo la scoperta di queste falle spesso le aziende più grosse creano pagine web in cui spiegano il problema e forniscono un modo per controllare se i nostri dati siano stati rubati/compromessi. Esistono anche siti dedicati, come haveibeenpwned.com , in cui possiamo controllare se i nostri account sono stati compromessi in un data breach. Occorre, inoltre, limitare i dati che forniamo alla rete e utilizzare password manager per gestire le chiavi di accesso differenti per ogni account (mai utilizzare la stessa password per servizi diversi): sono, questi, i modi migliori per difendere i propri dati personali e riservati”.

“Il 2018 è stato un anno molto interessante dal punto di vista della cyber security, non tanto per il numero di attacchi ma per come sono stati effettuati”, è l’analisi tecnica di Andrea Argentin, Sales Engineer Manager, Italy & Iberia di CyberArk. “Le modalità di ingresso all’interno del perimetro aziendale differiscono tra loro, perché ogni organizzazione presenta vulnerabilità differenti, ma ci sono alcuni elementi che accomunano invece questi attacchi, ovvero ciò che accade dopo l’intrusione”.

“Lo scopo principale dei criminal hacker” – continua Argentin – “diventa sempre di più quello di compromettere il dominio, in modo da ottenere un’identità apparentemente valida e agire indisturbati per molti mesi prima di essere identificati. Tale metodologia risulta allo stesso tempo efficace e distruttiva, in quanto per ripristinare una situazione pulita spesso bisogna ricostruire da zero, altrimenti c’è un forte rischio di ripristinare un ambiente compromesso e di conseguenza già pronto per un nuovo attacco”.

Il consiglio di Argentin alle aziende, condiviso dai maggiori security advisor, “è quello di ragionare la security con l’approccio dell’attaccante in mente, capire cosa faremmo se fossimo noi ad attaccare, e cosa vorremmo ottenere per rimanere più tempo possibile invisibili e persistenti all’interno della rete. I big player della security hanno capito che non esiste “LA” soluzione tecnologia, ma bisogna agire in concerto mettendo assieme tecnologie diverse che dialoghino tra loro. La cyber security è un team-game anche per i vendor di sicurezza”.

Precisa e puntuale anche la lezione per le aziende di Gerardo Costabile, CEO di DeepCyber: “al di là dei vari obblighi normativi – il più “rumoroso” del 2018 è stato certamente il GDPR cui seguirà la direttiva NIS – le aziende stanno capendo che questi attacchi minano ad asset importanti del proprio business, sia per il valore intrinseco dei dati (si pensi a società digitali come Facebook ed altre che vivono di scambio di dati), ma anche per motivi reputazionali. Facebook, ad esempio, ha avuto in borsa un crollo molto importante per via dell’attacco del 2018, che ha portato ferite profonde sugli stessi investitori. Ferite ben più profonde delle sanzioni privacy spesso tanto sbandierate”.

“Ritengo che le aziende (ed i propri manager) debbano fare un percorso virtuoso che parta dal valore dei propri asset digitali, dai cyber risk connessi alle specifiche minacce (alcune delle quali sono puntuali per settore e addirittura per singola azienda) e quindi valutare tutti gli investimenti in un’ottica di protezione e non per mera compliance normativa”, continua l’analisi di Costabile, secondo cui “la sicurezza è fatta di tecnologie, processi e persone. Una banalità ancora per certi versi sconosciuta, perché si tende spesso a comprare tecnologia pensando di aumentare la sicurezza in modo proporzionato. Una lezione, però, spero anche per gli addetti ai lavori. Mi piacerebbe che nel 2019 gli esperti di cyber security spendano più parole (e fatti) nelle soluzioni per i board delle aziende più che continuare a fare solo affermazioni di allarme e bollettini sulle minacce”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5