Fortunatamente nessun dato sugli utenti finali pare coinvolto nel leak
Se vuoi attaccare una grande azienda, non passare dall’ingresso principale, preferisci piuttosto l’accesso di servizio… una perla di saggezza che, per quanto datata, è diventata una spiacevole realtà per FCA, Tesla, General Motors, Volkswagen, ThyssenKrupp e altri.
Alla fine della scorsa settimana circolavano informazioni in merito alla reperibilità di 160 gigabyte di dati di diversi produttori di autoveicoli e di altre grandi aziende manifatturiere archiviati su sistemi accessibili pubblicamente. Tra i documenti figuravano moduli interni, planimetrie dei siti di produzione, fatture e dati di configurazione. Il sistema su cui erano archiviati i dati è di proprietà di Level One Robotics e veniva utilizzato apparentemente per il back-up. Un’azienda che conduce ricerche nel ramo della sicurezza IT afferma che invece di isolare questi dati da quelli degli altri clienti, i file erano archiviati in modo da consentire a chiunque accesso a informazioni critiche appannaggio dei soli addetti ai lavori. Per disporre di tali dati bastava essere in possesso di credenziali di accesso al sistema valide e di qualche nozione informatica di base.
L’ingresso di servizio
Ciò che rende rischiosa una regolamentazione degli accessi di questo tipo è che i dati contenevano anche segreti industriali strettamente sorvegliati dai rispettivi proprietari e persino documenti riservati come un accordo di non divulgazione siglato da Tesla Motors. In un ambiente in cui molte aziende sono persino riluttanti anche solo a parlare dei propri clienti, rivelazioni di questo tipo hanno un impatto ancora maggiore: anche solo disporre dell’elenco dei file presenti nella directory del sistema significa essere in possesso di un’informazione critica. Qualora i cybercriminali venissero a conoscenza del fatto che un’azienda lavora con uno specifico fornitore, potrebbero sviluppare un attacco mirato grazie alle informazioni in loro possesso. Il Social Engineering è solo una delle tattiche utilizzabili.
Stare all’erta
Eventi come questo potrebbero anche servire come monito alle organizzazioni. Occorre non solo occuparsi della sicurezza dei dati archiviati nella propria sede ma anche accertarsi delle misure di sicurezza adottate dai propri fornitori. Una componente essenziale per costituire quel rapporto di fiducia oggi ormai essenziale per il successo sia dell’azienda committente sia di quella incaricata.