La vicenda Bricofer, come si è conclusa; Il problema di Giunti; Che succede al "greenpass" russo?
Buon sabato e ben ritrovato caro cyber User. Questa settimana ci sono un paio di aggiornamenti che non sono riuscito a coprire su blog e altri media e quindi te ne lascio traccia proprio qui.
In breve oggi ti parlo di:
La vicenda Bricofer, come si è conclusa?
Il problema di Giunti
Che succede al "greenpass" russo?
La vicenda Bricofer, come si è conclusa?
Se segui i feeds su cyber security avrai sicuramente sentito parlare di ciò che è accaduto nelle ultime settimane attorno all'azienda italiana Bricofer. Nello specifico io ne parlai su CyberSecurity360, seguendo il link appunto. In sostanza è stato portato a segno un attacco ransomware da parte del gruppo criminale Lockbit 2.0 ai danni della nota azienda di commercio ferramenta e utensileria per la casa e il tempo libero. O meglio, ai danni di tutti i suoi clienti. Come da promessa dei criminal hackers, i dati esfiltrati dal server mirato nell'attacco, sono stati diffusi online e analizzandone il contenuto se ne può riassumere l'entità: nomi, cognomi, scansioni di documenti, numeri di carta fedeltà, dati di residenza, indirizzi email di oltre 13mila clienti sparsi per l'Italia. Infatti alcuni file, comprendono resoconti accentrati di molteplici punti vendita.
Fin qui niente di nuovo. Abbiamo iniziato a parlarne dall'8 gennaio (diffusione dei dati rubati), ancora l'azienda non ha accennato all'argomento. Ho tentato un contatto di persona il 7 gennaio, poi non finalizzato: la risposta attesa non è arrivata e non ho potuto chiarire di persona la posizione dell'azienda. Nessun comunicato. Nel frattempo passano i giorni e le testate giornalistiche e di settore iniziano a coprire la notizia. L'azienda è ancora avvolta nel silenzio: nota bene, i dati rubati sono già online disponibili a tutti.
Ispirato da questo silenzio e dal disaccordo dell'azienda nei confronti di un articolo di Infosec.news (Umberto Rapetto), Matteo Flora il 19 gennaio pubblica un video, nel quale parla proprio di questo caso e di come sia stata gestita poco bene la comunicazione dell'accaduto da parte dell'azienda. Nessun comunicato.
Intorno al 21 gennaio arrivano i primi segnali: SMS di avvertimento alla clientela interessata, non a tutti ma almeno una buona parte lo riceve.
Arriviamo ai giorni nostri. Nello stesso giorno l'azienda firma un comunicato ufficiale, da diramare pubblicamente, sul proprio sito web, nel quale finalmente spiega cosa è successo e cosa ha fatto nel frattempo per mitigare i danni.
A questo punto possiamo dire che l'azienda dichiara di aver notificato immediatamente gli atti dovuti, appena accortasi dell'incidente (il 23 dicembre 2021 stesso), sia denunciando alle autorità di Polizia che segnalando la violazione dei dati personali all'autorità Garante italiana.
Questa comunicazione pubblica si è fatta attendere molto, finalmente è arrivata ed è giusto darne atto. Non contiene grandi dettagli tecnici, però è consultabile sul proprio sito web, proprio sotto forma di volantino commerciale. Inoltre benché datata 21 gennaio, giusto per precisione ho modo di pensare che sia online dal 23 gennaio, unicamente per il fatto che proprio in quella data vedo un raro salvataggio su WayBack Machine, che mi desta il sospetto abbia appunto intercettato il cambiamento sulla home, con l'aggiunta di nuovo link nel menu.
Il problema di Giunti
La nota casa editrice italiana si trova in una fase molto delicata per il proprio account social, nello specifico Instagram. Nel ho parlato questa settimana, sul blog in maniera indiretta, nell'argomentare la diffusione del phishing mirato ad account Instagram di grande rilievo (con grande seguito di pubblico). Quello che è successo, probabilmente proprio sfruttando questa tecnica di phishing, basato sulla violazione dei termini di utilizzo di Instagram, attori malevoli non autorizzati sono riusciti ad ottenere le credenziali di accesso dell'account Instagram di Giunti Editore (all'inizio 113K followers).
Questo furto sta causando, da almeno 4 giorni, la pubblicazione di materiale non consono e non voluto da Giunti Editore: tra i post, nelle stories e come immagine di profilo, che al momento attuale presenta quella del Re Leone (ne hanno fatto susseguire diverse in questi giorni).
Nella giornata di giovedì l'account ufficiale risultava sospeso (forse da Instagram stesso intento a fare indagini sull'accaduto), la casa editrice ha in quel momento coperto l'assenza con un account secondario, avvisando così di quanto stava accadendo.
Venerdì torna online l'account ufficiale, ma ancora fuori controllo da Giunti Editore, è chiaro quindi che ancora non si sia riusciti a riportare il tutto a uno stato di normalità. I post che vengono pubblicati, apparentemente normali, fanno riferimento a post programmati, azione usuale tra i social media manager, che lavorano con software di terze parti sotto API, quindi seguendo un'altra via (differente dalla app) per l'autenticazione.
Ma appunto, non sono la normalità.
L'account si trova tuttora quindi in uno stato di impasse difficile da risolvere. Interverrà quasi certamente Instagram a livello centrale, ma solo dopo le opportune verifiche del caso, il che potrà richiedere diversi giorni. Non bisogna dimenticare, soprattutto a livelli così istituzionali, che la prevenzione è la vera unica arma contro questo genere di attacchi. Ammesso che si possa essere convincenti con il phishing e quindi la vittima ci casca, l'autenticazione a due fattori ormai è indispensabile in qualsiasi servizio. La maggior parte dei servizi online la offre come opportunità e scarsamente però viene applicata. Inoltre pensa un po', Instagram nello specifico la offre: sia per gli account privati che professionali.
Sicuramente con il 2FA (doppio fattore) attivo, questo incidente non sarebbe capitato, per lo meno non così come oggi ne parliamo.
Che succede al "greenpass" russo?
E' da un po' che in Italia non si parla di green pass e della vicenda che ha visto vari incidenti di sicurezza nel suo abuso e falsificazione. Decido quindi di parlarne facendo un giro all'estero, per ora. Da pochi giorni sembra che siano in vendita, su RaidForums, una grande quantità di dati inerenti cittadini russi, 48 milioni di record contenenti QR-Code e certificazioni esfiltrate dalla app governativa STOPCORONAVIRUS del ministero della salute della Russia. L'annuncio è corredato da ampi e generosi sample, liberamente scaricabili che includono 15 QR code vaccinali già pronti e 20 MB di file CSV con 10.000 record di dati personali esfiltrati. Si capisce così l'enorme entità del danno arrecato alla cittadinanza.
La totalità dei dati arriverebbe a 150 GB in vendita al costo di 100k dollari, suddivisi nelle differenti regioni, per le quali a scelta viene ripartita nel caso anche la vendita con segmenti che variano da 3 a 15 mila dollari.
Essendo dati esfiltrati, potenzialmente, dalla app governativa di salute pubblica, sono costituiti da informazioni estremamente personali e sensibili per la cittadinanza, tra i quali numeri di passaporti, tipologia di vaccino somministrato, scadenza del certificato vaccinale.
Con questi dati, gli attori criminali, hanno anche messo in piedi un sito che ne offre la consultazione, libera a tutti, proprio in ottemperanza del fatto di andare contro le regole imposte dalla certificazione verde russa. Il sito, in lingua russa, è ospitato, all'estero, in Islanda, che evidentemente ne garantisce la non perseguibilità dalle autorità russe. Il sito in questione offre all'utente la possibilità di ricercare la certificazione verde più adatta alle proprie esigenze in base a nome, mese e anno di nascita, per poi lasciar scaricare a chiunque il QR code indebitamente ottenuto (dell'ignaro cittadino che ne è invece il legittimo proprietario).
Insomma, lo scenario è molto simile a quanto accaduto in Italia verso le fine di novembre 2021. Ma con numeri, in base alle evidenze finora riscontrate, decisamente inferiori (qui il sito nostrano che offriva un servizio simile girava attorno a un campione di meno di 1000 green pass).
Inoltre il caso russo è grave anche perché, se veramente fosse stato esfiltrato l'intero DB della app governativa, c'è un grosso problema di cyber security che ha permesso tale furto, al netto dell'intervento di insiders, sempre probabile, nella catena di fornitura del backend di STOPCORONAVIRUS.
Anche questo sabato ho aperto con te alcuni punti di riflessione su queste tematiche che mi premeva parlarne, dimmi pure cosa ne pensi sui commenti di qualsiasi mio social. Ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.