Il recente data breach di Dell ci ricorda quanto sia cruciale una corretta gestione delle autenticazioni utente. Uno store online gestito dal produttore hardware è stato compromesso a causa di un mancato controllo sulle API di accesso, consentendo l’esfiltrazione dei dati di 49 milioni di clienti. Ecco cosa è successo e perché è fondamentale un efficace controllo degli accessi alle proprie infrastrutture.
La violazione dei dati: cosa è successo
Dell ha avvertito i clienti di una violazione dei dati dopo che un attore minaccioso ha dichiarato di aver rubato informazioni personali di circa 49 milioni di account. Il produttore di computer ha iniziato a inviare notifiche di violazione dei dati via email ai clienti, affermando che un portale contenente informazioni sui clienti relativi agli acquisti è stato compromesso.
Secondo la notifica di violazione, le informazioni accessibili durante l’attacco includevano:
- Nome cliente
- Indirizzo fisico
- Informazioni sull’hardware e sugli ordini Dell, compreso il tag del servizio, la descrizione dell’articolo, la data dell’ordine e le informazioni sulla garanzia correlate
Dell ha sottolineato che le informazioni rubate non includono dati finanziari o di pagamento, indirizzi email o numeri di telefono. L’azienda sta collaborando con le forze dell’ordine e una società di analisi forense di terze parti per indagare sull’incidente.
Dati in vendita su forum di hacking
Il 28 aprile, un attore malevolo di nome Menelik ha cercato di vendere un database Dell sul forum di hacking Breach Forums. Menelik ha dichiarato di aver rubato dati per “49 milioni di clienti e altri sistemi informativi acquistati da Dell tra il 2017 e il 2024”.
Caratteristiche del data breach
| Caratteristica | Descrizione |
|---|---|
| Numero di account compromessi | 49 milioni |
| Periodo di dati rubati | 2017-2024 |
| Tipo di dati | Nome, indirizzo fisico, informazioni sugli ordini e hardware |
| Informazioni non compromesse | Dati finanziari, email, numeri di telefono |
Menelik ha spiegato che l’accesso al portale è stato ottenuto registrando più account con nomi di aziende false, senza alcuna verifica da parte di Dell. Il processo di registrazione come partner richiedeva solo la compilazione di un modulo di domanda, e l’accesso veniva approvato entro 24-48 ore.
Le falle nel sistema di Dell
Una volta ottenuto l’accesso al portale, Menelik ha creato un programma che generava tag di servizio a 7 cifre e li inviava alla pagina del portale per estrarre le informazioni. Poiché il portale non includeva alcun limite di velocità, Menelik è riuscito a raccogliere le informazioni di 49 milioni di record di clienti generando 5.000 richieste al minuto per tre settimane.
Suddivisione dei dati hardware rubati
| Tipo di Hardware | Numero di Record |
|---|---|
| Monitor | 22.406.133 |
| Notebook Alienware | 447.315 |
| Chromebook | 198.713 |
| Notebook Inspiron | 11.257.567 |
| Desktop Inspiron | 1.731.767 |
| Laptop Latitude | 4.130.510 |
| Optiplex | 5.177.626 |
| Poweredge | 783.575 |
| Desktop Precision | 798.018 |
| Notebook Precision | 486.244 |
| Notebook Vostro | 148.087 |
| Desktop Vostro | 37.427 |
| Notebook XPS | 1.045.302 |
| Desktop XPS/Alienware | 399.695 |
La debolezza delle API
Le API facili da accedere, prive di una autenticazione specifica, rappresentano una debolezza significativa per molte aziende. Gli attori malevoli ne abusano per estrarre dati sensibili e venderli a gruppi criminali. Nel 2021, ad esempio, le API di Facebook sono state sfruttate per collegare numeri di telefono a oltre 500 milioni di account, con i dati venduti su forum di hacking. Incidents simili sono avvenuti con Twitter e Trello, dove bug nelle API hanno permesso il collegamento di numeri di telefono e indirizzi email a milioni di account, poi venduti su forum di hacking.
Impatti e misure preventive
Data breach Dell non solo sottolinea la vulnerabilità delle API, ma evidenzia anche l’importanza di misure preventive efficaci per proteggere i dati sensibili. Le aziende devono implementare strategie di sicurezza robuste per evitare tali violazioni.
Misure preventive raccomandate
- Controllo rigoroso delle autenticazioni: Implementare autenticazioni a più fattori (MFA) e verifiche rigorose per l’accesso ai portali.
- Limitazione delle richieste API: Applicare limiti di velocità alle API per prevenire l’abuso da parte di attori malevoli.
- Monitoraggio continuo: Utilizzare strumenti di monitoraggio per rilevare attività sospette e intervenire rapidamente.
- Aggiornamento regolare dei sistemi: Assicurarsi che tutte le patch di sicurezza siano applicate tempestivamente.
- Formazione degli utenti: Educare i dipendenti sulla sicurezza informatica e sulle migliori pratiche per prevenire attacchi.
Conclusione
Il data breach di Dell evidenzia la necessità di una gestione rigorosa delle autenticazioni utente e di una protezione robusta delle API. Le aziende devono adottare misure preventive efficaci per proteggere i dati sensibili e prevenire futuri attacchi. Solo attraverso un approccio proattivo alla sicurezza informatica è possibile mitigare i rischi associati alle nuove minacce cibernetiche.
