Passa al contenuto principale

Cosa è una violazione dei dati e come proteggersi?

Cosa è una violazione dei dati?

Una violazione dei dati è detta anche fuoriuscita di dati o fuga di dati.

Secondo Techopedia, una violazione dei dati è "un incidente che comporta la visualizzazione, l'accesso o il recupero non autorizzati o non leciti di dati da parte di un singolo, di un'app o di un servizio".1 Questo tipo di violazione della sicurezza è specifico per il furto di informazioni sensibili e può essere eseguito fisicamente accedendo a un computer o a una rete o da remoto aggirando la sicurezza della rete.

Le violazioni dei dati si verificano comunemente dopo che un hacker o un utente non autorizzato accede a un database o a un repository di dati protetto. Spesso eseguite tramite internet o una connessione di rete, generalmente le violazioni dei dati ruotano intorno alla ricerca di dati logici o digitali.

Secondo Symantec, il tipo più comune di dati persi a causa di violazioni era costituito da informazioni di identificazione personale, come nomi completi, numeri di carta di credito e numeri di previdenza sociale, seguito subito dopo dalle informazioni finanziarie personali.2

Una volta acquisiti tali dati, gli hacker possono utilizzarli per commettere furti di identità e altri crimini informatici, incluse l'applicazione delle informazioni rubate e l'acquisizione dell'accesso in qualità di amministratore all'intera rete.

Oltre alla perdita di dati, una violazione danneggia un'azienda e i suoi clienti in altri modi. Il danno si estende al costo per aumentare la sicurezza informatica e riparare e aggiornare la vulnerabilità sfruttabile, nonché al danno a lungo termine alla reputazione dell'azienda e ai suoi clienti a cui sono state rubate le informazioni private.

Come i verifica una violazione dei dati?

Secondo la società multinazionale di sicurezza informatica e difesa Trend Micro, le violazioni dei dati sono un processo in quattro fasi che include le seguenti azioni per una violazione generale dei dati:

  • Ricerca. L'hacker analizza il computer o la rete alla ricerca di vulnerabilità. vulnerabilities.
  • Attacco. L'hacker inizia l'attacco, stabilendo un contatto utilizzando una rete o un attacco social.
    • Network Attacco alla rete. Questo attacco comporta la manipolazione della rete. L'hacker utilizza le debolezze dell'infrastruttura, del sistema e delle applicazioni per infiltrarsi nel computer o nella rete della vittima.
    • Attacco social. Questo attacco coinvolge la manipolazione social. L'hacker inganna o induce i dipendenti a concedere loro l'accesso al computer o alla rete. Questo metodo include indurre un dipendente a rivelare le credenziali di accesso o indurre il dipendente ad aprire un allegato dannoso.
  • Esfiltrazione. Una volta violato un computer, gli hacker possono quindi attaccare la rete o rubare i dati dell'azienda. Dopo che la rete è stata danneggiata o che i dati sono stati estratti, l'attacco è considerato riuscito.3

Perché si verificano violazioni dei dati?

Malwarebytes, un'azienda produttrice di software anti-malware, sostiene che "una violazione dei dati non è una minaccia o un attacco in sé e per sé, ma è il risultato di un attacco informatico che consente agli hacker di ottenere accesso non autorizzato a un sistema informatico o a una rete e rubarne i dati".4 Con l'aumento del processo di digitalizzazione dei contenuti aumenta e la crescita continua del cloud, continueranno a verificarsi violazioni dei dati.

Generalmente, le violazioni dei dati mirate si verificano per i seguenti motivi:  

  • Utilizzo degli exploit delle vulnerabilità del sistema
  • Password deboli
  • SQL (Structured Query Language) injection
  • Spyware
  • Phishing
  • Download drive-by
  • Controlli di accesso danneggiati o configurati in modo errato

Utilizzo degli exploit delle vulnerabilità del sistema

Gli hacker utilizzano gli exploit delle vulnerabilità sistematiche del software o dei sistemi per ottenere accesso non autorizzato a un elaboratore o rete e ai relativi dati. Gli exploit si trovano comunemente nei sistemi operativi, nei browser Internet e in una varietà di app diverse.

Nascoste all'interno del codice di un sistema, queste vulnerabilità sono ricercate dagli hacker, oltre che dai ricercatori e dagli esperti di sicurezza informatica. Ad esempio, i sistemi operativi meno recenti possono purtroppo avere vulnerabilità integrate che gli hacker di oggi possono facilmente sfruttare per accedere ai dati di un computer.

Mentre gli hacker vogliono utilizzare gli exploit per i propri scopi illeciti, gli agenti della sicurezza informatica vogliono comprendere meglio gli exploit e come possono essere riparati o in altro modo modificati per prevenire violazioni dei dati e aumentare la sicurezza informatica.

Per rendere più semplice il proprio lavoro, alcuni gruppi di criminali informatici impacchettano diversi exploit in kit automatizzati. Questi kit consentono ai criminali con poche conoscenze tecniche di trarre vantaggio dagli exploit.

Password deboli

Come suggerito dal nome, una password debole è una password che può essere determinata facilmente da esseri umani e computer. Queste password spesso contengono il nome del coniuge, dei figli, degli animali domestici o l'indirizzo dell'utente, perché sono facili da ricordare per l'utente. Le password potrebbero non essere sensibili al maiuscolo/minuscolo o semplicemente non contenere simboli o lettere maiuscole.

Le password deboli sono facili da indovinare per gli hacker o da utilizzare in attacchi di forza bruta o spidering per capire la password di un utente. Inoltre, non annotare mai la password sulla scrivania o cercare di accorgersi se qualcuno alle nostre spalle prova a spiare quando inseriamo una password. 

Attacco SQL injection

Structured query language (SQL) injection attacks sfruttano le vulnerabilità del software di gestione del database SQL di un sito Web non protetto. Per eseguire un attacco SQL injection, un hacker incorpora codice dannoso in un sito o un'applicazione vulnerabile, quindi indirizza verso il database backend.

Ad esempio, un hacker modifica il codice nel sito web di un rivenditore in modo che quando viene eseguita la ricerca di "cuffie più vendute", invece di ottenere risultati per ottime cuffie, il sito web del rivenditore fornisce all'hacker un elenco dei clienti e le informazioni sulle relative carte di credito.

Un tipo di attacco informatico meno sofisticato, gli attacchi SQL possono essere eseguiti utilizzando programmi automatizzati simili a quelli utilizzati per gli exploit.

Spyware

Lo spyware è un malware che infetta il computer o la rete per "spiare" l'utente e raccogliere informazioni sull'utente, sul computer e sui siti Web visitati.

Le vittime spesso vengono infettate da spyware dopo aver scaricato o installato qualcosa che sembra innocuo, che ha il solo scopo di inserire lo spyware. È inoltre possibile essere aggrediti da uno spyware facendo clic su un collegamento dannoso o come infezione secondaria da un virus.

In alternativa, lo spyware può accedere al computer come infezione secondaria tramite un Trojan come Emotet. Come riportato sul blog di Malwarebytes Labs, Emotet, TrickBot e altri Trojan bancari hanno trovato nuova vita come strumenti di distribuzione di spyware e altri tipi di malware. Una volta infettato il sistema, lo spyware invia tutti i dati personali dell'utente ai server C&C dei criminali informatici.

Dopo aver infettato il computer e raccolto le informazioni sull'utente, lo spyware inoltra le informazioni verso un'ubicazione remota, come i server C&C (command and control) o un repository simile, a cui i criminali informatici possono accedere.

Phishing

Gli attacchi di phishing di solito utilizzano l'ingegneria sociale per manipolare le emozioni delle vittime contro la logica e il ragionamento e convincerle a condividere informazioni sensibili. Spesso vengono eseguiti utilizzando attacchi basati sullo spoofing di email o su siti Web clonati che funzionano in modo simile.

Gli aggressori che utilizzano tattiche di email spam e phishing indurranno gli utenti a compiere le seguenti azioni:

  • Rivelare le proprie credenziali utente e password
  • Scaricare allegati dannosi
  • Visitare siti Web dannosi

Ad esempio, potresti ricevere una email che sembri provenire dalla società della tua carta di credito, in cui viene richiesto di verificare addebiti inventati sul conto e di accedere utilizzando un collegamento ad una versione falsa del sito della carta di credito. Le vittime ignare provano ad accedere al sito falso utilizzando nomi utente e password reali. Una volta in possesso di queste informazioni, gli hacker possono accedere al conto della carta di credito ed utilizzarlo per furto di identità e altri crimini informatici simili.

Download drive-by

I download drive-by sono attacchi informatici che possono installare spyware, adware, malware e software simili sul computer di un utente senza autorizzazione dell'utente. Consentono agli hacker di sfruttare exploit e falle di sicurezza in browser, applicazioni e sistemi operativi.

Questo attacco informatico non richiede necessariamente di indurre gli utenti ad abilitarlo. A differenza degli attacchi di phishing e spoofing in cui l' utente deve fare clic su un collegamento dannoso o scaricare un allegato dannoso, i download drive-by si collegano ad un computer o un dispositivo senza autorizzazione dell'utente. 

Controlli di accesso danneggiati o configurati in modo errato

Se l'amministratore di un sito Web non è attento, potrebbe stabilire controlli di accesso che renderebbero accessibili al pubblico parti di un sistema che dovrebbero essere private. Questo passo falso potrebbe essere qualcosa di così negligente come trascurare di impostare come private alcune cartelle back-end che contengono dati sensibili. Gli utenti generici tendono a non essere consapevoli di controlli di accesso danneggiati o configurati in modo errato. Tuttavia, gli hacker che eseguono ricerche specifiche su Google possono individuare queste cartelle e accedere ai dati in esse contenuti. Un buon confronto con questa situazione è un ladro che entra in una casa attraverso una finestra non bloccata invece di un ladro che irrompe in una casa attraverso una porta chiusa a chiave. 

Hacker benevoli e violazioni dei dati

In una violazione dei dati, come nella maggior parte dei tipi di furti informatici, gli hacker tentano di ottenere l'accesso non autorizzato al computer o alla rete dell'utente e di rubare le informazioni private. Tuttavia, in alcuni casi, questo furto viene eseguito con intenzioni benevole.

Come molti ricercatori di sicurezza informatica, gli hacker "white hat" e altri hacker benevoli tenteranno di entrare nel computer o nella rete per scoprire exploit e vulnerabilità, quindi sensibilizzeranno gli altri in modo che possano creare una soluzione che rimedi all'exploit.

Ad esempio, dopo nove mesi di lavoro di reverse engineering, un team di hacker accademici della KU Leuven University in Belgio ha pubblicato un documento nel settembre 2018 che ha rivelato come ha sconfitto la crittografia di Tesla per la Model S.5 Il lavoro del team ha aiutato Tesla a creare una nuova tecnologia di sicurezza informatica per i propri veicoli che ha posto rimedio all'exploit scoperto dal team KU Leuven e utilizzato per clonare il portachiavi della Model S.

Come rilevare una violazione dei dati?

A differenza di molti tipi comuni di attacchi informatici, le violazioni dei dati sono notoriamente difficili da rilevare ed è molto comune per le organizzazioni scoprire la violazione giorni o settimane, a volte anche mesi dopo che si è verificata. Questo grande divario tra il momento in cui si verifica la violazione dei dati e la scoperta è incredibilmente problematico, poiché gli hacker avranno un grande vantaggio nell'utilizzo o nella vendita dei dati rubati. Una volta scoperta la violazione dei dati e corretta la vulnerabilità che l'ha consentita, il danno è già stato fatto.

Nel suo articolo per SecurityIntelligence, Koen Van Impe osserva che esistono due segnali che indicano una violazione dei dati:

  • Precursori
  • Indicatori6

Precursori

I precursori segnalano una minaccia imminente sulla base di informazioni pubbliche, come blog sulla sicurezza, avvisi dei fornitori e informazioni simili provenienti da analisi delle minacce e fonti di intelligence o rilevamento delle minacce. I professionisti della sicurezza informatica utilizzano i precursori per prepararsi a un attacco informatico anticipato e per adeguare la sicurezza e la resilienza informatica dei propri sistemi in base al livello di minaccia. I precursori tendono a verificarsi raramente, soprattutto se confrontati con gli indicatori.

Indicatori

Gli indicatori mostrano che una violazione dei dati potrebbe essersi verificata o è attualmente in corso. Avvisi di sicurezza, comportamenti sospetti e segnalazioni o avvisi inviati da persone all'interno o all'esterno di un'azienda sono tutti esempi di indicatori. Gli indicatori si verificano spesso con un volume elevato, fattore che contribuisce alle inefficienze del processo di risposta agli incidenti.

H Quali indicatori ricercare?

Ecco alcuni indicatori da riconoscere nel caso di una possibile violazione dei dati o attacco informatico simile:

  • Attività irregolarmente elevata per il sistema, il disco o la rete. Questa maggiore attività è particolarmente preoccupante se si verifica durante quello che normalmente sarebbe un periodo di inattività.
  • Attività su porte di rete o applicazioni solitamente inattive. Un'attività insolita in cui le porte o le applicazioni sono in ascolto su porte di rete che solitamente non sarebbero utilizzate.
  • È installato software non riconosciuto o vengono impostate preferenze di sistema insolite.
  • Modifiche alla configurazione del sistema non riconosciute e non rintracciabili, incluse modifiche al firewall, riconfigurazioni dei servizi, installazioni di nuovi programmi all'avvio o attività pianificate.
  • Picchi di attività in una panoramica sulle "ultima attività" dei servizi cloud che tiene traccia del comportamento anomalo. Questa attività include l'accesso a orari insoliti, da posizioni insolite o da più posizioni in un breve periodo di tempo e altre attività anomale dell'utente.
  • Blocco imprevisto dell'account utente, reimpostazione della password o deviazioni dall'appartenenza al gruppo.
  • Frequenti arresti anomali del sistema o delle applicazioni.
  • Avvisi da malware o protezioni antivirus, comprese le notifiche di disabilitazione.
  • Frequenti popup o reindirizzamenti imprevisti durante la navigazione in Internet o modifiche alla configurazione del browser, come una nuova home page o le preferenze del motore di ricerca.
  • I contatti segnalano di aver ricevuto e-mail insolite o messaggi diretti dai social media, ma che in realtà non sono stati inviati dall'utente.
  • Si riceve un messaggio da un utente malintenzionato che richiede denaro, ad esempio da un ransomware.

Cosa è possibile fare per rilevare e rispondere a una violazione dei dati?

Oltre ai precursori e agli indicatori, ecco alcuni principi guida che possono rafforzare la capacità di rilevare e rispondere a un'intrusione nel proprio sistema:

1. Nessuna modifica, nessuna bandiera rossa

Evitare di apportare modifiche al computer o alla rete. Apportare modifiche in un sistema in cui esiste una sospetta intrusione rischia di danneggiare o distruggere le prove o addirittura di peggiorare la situazione. In questo caso, l'ovvio compromesso è tra il peso dell'incidente e l'intento dell'hacker, nonché tra gli obiettivi aziendali e l'impatto della violazione su di essi. 

2. Raccogliere prove

Assicurarsi di raccogliere prove di quella che si sospetta essere un'intrusione e accertarsi che le prove siano archiviate in un luogo con un rischio minimo di perdita di dati. Questo processo aiuterà con l'analisi degli incidenti e il processo decisionale post-incidente, nonché la raccolta di dati forensi.

File di log, informazioni su disco e memoria, campioni di malware, elenchi di processi in esecuzione, elenchi di attività degli utenti e connessioni di rete attive sono tutti dati che possono essere raccolti come prova.

Rispettando la regola "nessuna modifica, nessuna bandiera rossa", non apportare modifiche al sistema durante la raccolta di queste informazioni. E come per la prima regola, considerare la propria situazione, il peso dell'incidente e altri fattori rilevanti durante la valutazione dei vantaggi o degli svantaggi derivanti dalle proprie azioni.

Se è possibile accedervi, prendere in considerazione l'utilizzo di strumenti forensi remoti e lavorare a stretto contatto con il team di operazioni IT o di sicurezza informatica. Se non si dispone di un sistema di registrazione centrale, assicurarsi che i log vengano copiati in una posizione di sola lettura su un computer o sistema diverso da quello attaccato.

3. Registrare tutte le attività

Prendere appunti durante la risposta all'incidente può fornire una miniera di dati. Provare a registrare ogni azione intrapresa, comprese le azioni di verifica, correlazione e pivoting. Assicurarsi di non aver tralasciato nulla ora che potrebbe essere importante in seguito. Gli appunti possono aiutare a stabilire scadenze e determinare le aree del sistema per cui è necessario supporto.

4. CConfrontarsi con i colleghi

Dopo aver stabilito una comprensione generale di tutto ciò che sta accadendo nel proprio sistema, consultare i colleghi e verificare i risultati. Questo processo include il riferimento a fonti di intelligence sulle minacce, nonché a centri di condivisione e analisi delle informazioni (information sharing and analysis center, ISAC) di settore e team nazionali di risposta agli incidenti di sicurezza informatica (computer security incident response teams, CSIRT). Questo passaggio aiuta a stabilire ciò che altri hanno già fatto e quali passaggi devono essere eseguiti per contenere l'intrusione e come invertire il danno causato.

5. Creare un report interno

Oltre a segnalare gli incidenti osservati, segnalare agli stakeholder anche eventuali incidenti critici in corso che potrebbero avere impatto sulla tua attività. Un'analisi di alto livello dell'attacco dovrebbe includere quanto segue:

  • Se l'attacco è stato mirato
  • Se l'attacco è già stato osservato in precedenza
  • Se altre aziende o organizzazioni hanno subito attacchi simili
  • Quali danni ha causato fino ad oggi e i danni che potrebbe causare in futuro
  • Qual era l'intento dell'attacco?

6. Diffondere la consapevolezza sui report   

Gli indicatori possono includere report di persone all'interno della propria organizzazione. Tali report interni possono fornire informazioni essenziali per aumentare la consapevolezza di comportamenti o situazioni insoliti. Semplificare il processo di segnalazione e diffondere la consapevolezza sui report tra i dipendenti. Prenderei in considerazione l'idea di creare un pulsante "segnala un incidente" nella home page interna dell'organizzazione.

Verificare che i dipendenti siano a conoscenza del team di sicurezza informatica o del team di supporto IT. Assicurarsi che i dipendenti possano contattare facilmente questi team in caso di domande o suggerimenti. Creare domande dell'help desk da porre a questi team per aiutarli a raccogliere informazioni.  

Favorire la trasparenza e un senso di appartenenza con i report. Questo processo può significare seguire ogni individuo che ha inviato un report e fornire un aggiornamento sull'incidente specifico per il report di ciascun individuo.

Implementando questo processo nell'ambiente di lavoro, sarà possibile non solo coltivare una cultura della sicurezza IT e potenzialmente aumentare la tua resilienza e sicurezza informatica, ma i dipendenti saranno più propensi a segnalare qualsiasi cosa ritengano insolita. Questo processo e cultura combinati possono aiutare a bloccare le intrusioni quando iniziano.

Includere nel report tutte le azioni di mitigazione che sono state intraprese, se sono state efficaci, e quali azioni aggiuntive è possibile prevedere di intraprendere in futuro. Sebbene sia opportuno includere i dettagli tecnici appropriati, concentrare l'attenzione su come questo attacco avrà un impatto sull'azienda e sui suoi dipendenti.  

Cosa posso fare per impedire una violazione dei dati?

Non esiste una soluzione perfetta per prevenire una violazione dei dati al di fuori del non accedere mai a Internet, non avviare mai il computer o non impostare mai la rete online. Ovviamente, non sono soluzioni accettabili per nessuno.

Fortunatamente, quando si riduce il rischio di una violazione dei dati, è possibile effettuare diversi passaggi per rafforzare la sicurezza informatica e la resilienza informatica.

  • Utilizzare password complesse. Prendi in considerazione l'utilizzo di un generatore di password che crea combinazioni casuali di lettere maiuscole e minuscole, numeri e simboli. Prendere in considerazione l'utilizzo di un programma di monitoraggio delle password che aiuti a gestire queste password.
  • Monitorare le proprie finanze. Esaminare periodicamente le attività del proprio conto bancario e di conti finanziari simili. Se possibile, utilizzare avvisi di attività che informano di eventuali attività insolite. 
  • Monitor Monitorare il proprio credit report. Il credit report mostra se qualcuno tenta di utilizzare le tue informazioni private per aprire una carta di credito o un conto bancario utilizzando il tuo nome. Diversi siti, come Credit Karma offrono gratuitamente funzioni di credit report.
  • Agire immediatamente. Non appena si nota un'attività insolita, agire immediatamente e contattare la società emittente della carta di credito, la banca o un istituto finanziario simile. Se si è stati vittima di una violazione dei dati, assicurarsi di informare tali enti.
  • Proteggere il proprio telefono. Creare sempre una password numerica breve o una password a scorrimento per il proprio telefono. Se disponibile sul proprio telefono, utilizzare anche uno scanner di impronte digitali. L'utilizzo di queste funzionalità di sicurezza fornisce una linea di difesa contro l'accesso non autorizzato al telefono e a tutte le informazioni personali in esso memorizzate in caso di smarrimento o furto.    
  • Prestare attenzione agli URL. Provare ad utilizzare solo URL protetti. Gli URL protetti iniziano con “Errore! Riferimento a collegamento ipertestuale non valido.”. La "s" sta per protetto (secure) e la richiesta HTTP utilizza Secure Sockets Layer (SSL), un protocollo utilizzato per la comunicazione sicura tra due parti. 
  • Installare software antivirus aggiornato. In base al software utilizzato ed alla configurazione della rete, potrebbe essere disponibile un firewall. Avere a disposizione un software antivirus affidabile con definizioni aggiornate generalmente aumenta la sicurezza informatica e la resilienza informatica agli attacchi informatici.
  • Eseguire periodicamente il backup dei file. Stabilire una pianificazione regolare per il backup dei file e l'archiviazione di questi backup in un ambiente sicuro. Questo processo consentirà di creare RPO (recovery point objective) in caso di perdita o danneggiamento dei dati.
  • Formattare o distruggere le vecchie unità disco. Se si decide di ritirare i vecchi sistemi e si pianifica di riciclarrne i componenti, assicurarsi di formattare le unità disco prima di installarle in nuovi computer. Se si decide di sostituire tali sistemi e non si desidera riutilizzarne i componenti, innanzitutto accertarsi di aver eseguito il backup dei file. In secondo luogo, smaltire le unità disco in modo che nessuno possa più utilizzarle. Spesso, la soluzione più semplice è distruggerli fisicamente.
  • Non pubblicare online informazioni importanti. Questo è un passaggio pratico che non dovrebbe richiedere molte spiegazioni. Non pubblicare informazioni private, sensibili o comunque molto importanti online, inclusi gli account social media. In genere è anche una buona idea impostare come "privati" i propri account sui social media, per limitare chi può visualizzarne i contenuti.
  • Utilizzare servizi di protezione dal furto di identità e monitoraggio del credito. Prendere in considerazione l'utilizzo di servizi di protezione dal furto di identità e monitoraggio del credito, poiché aiutano a prevenire il furto di identità e possono inviare avvisi nel caso in cui si verifichino questi eventi. 
  • Utilizzare servizi di pagamento sicuri. Paypal è un ottimo esempio di servizio di pagamento sicuro, in quanto non richiede di fornire i dati della carta di credito per effettuare un pagamento. Invece, consente di effettuare pagamenti sicuri utilizzando i propri account e senza che l'utente debba inserire informazioni sensibili. 

2018: Anno della violazione dei dati

A causa della grande quantità di dati che contengono, le aziende e le grandi organizzazioni sono obiettivi eccezionalmente interessanti per i criminali informatici che cercano di rubare dati.

Nel post del blog Malwarebytes Lab 2018: The year of the data breach tsunami, l'autore Logan Strain osserva che nel 2017 si sono verificate più violazioni dei dati rispetto al 2018. Tuttavia, nel 2018, le violazioni dei dati sono state di portata più massiccia e hanno visto vittime che includevano alcune delle più grandi aziende tecnologiche, rivenditori e fornitori di servizi di accoglienza, come Facebook, Under Armour, Quora e Panera Bread.7

A causa delle enormi quantità di dati che contengono, le aziende sono bersagli allettanti per i criminali informatici che cercano di rubare grandi quantità di dati privati. Secondo lo studio 2018 Cost of a Data Breach study di Ponemon Institute, una violazione dei dati resta non rilevata per una media di 197 giorni. Lo studio sostiene che il costo totale medio di una violazione dei dati per un'azienda è di 3,86 milioni di dollari, con un aumento del 6,4% rispetto al 2017. Anche il costo medio globale per ogni record perso o rubato è aumentato del 4,8%, con una media di circa 148 dollari per record.8

La quantità di dati persi è ulteriormente aggravata dal fatto che le violazioni dei dati sono notoriamente difficili da rilevare, spesso non vengono rilevate e, una volta rilevate, sono necessari altri 69 giorni per invertire il danno e recuperare dalle perdite.

Violazioni dei dati di Facebook, esposizioni e attacchi informatici

Facebook ha subito diverse violazioni ed esposizioni di dati e attacchi informatici resi pubblici durante il 2018 e il 2019. Le esposizioni di dati di Facebook riguardano dati archiviati online e pubblicamente senza password. Queste esposizioni non implicano necessariamente un intento dannoso, come una violazione dei dati o un attacco informatico, e sono invece legate a un errore umano e rappresentano un problema di sicurezza.

La prima violazione dei dati

Quando è avvenuta la violazione? Tra il 2013 e il 2015

Quando è stata scoperta la violazione? Sconosciuto

Quando è stata resa pubblica la violazione? La violazione è stata esposta il 17 marzo 2018 da segnalazioni del New York Times e del Guardian.

Cosa è stato rubato?

  • Dati dei profili degli utenti Facebook
  • Preferenze e interessi degli utenti Facebook

Sebbene inizialmente fosse stato riferito che Cambridge Analytica ha avuto accesso a 50 milioni di profili Facebook, diversi report hanno successivamente confermato che la cifra era in realtà più vicina a 87 milioni di profili.

How Come si è verificata la violazione dei dati? Una falla in un'API (Application Programming Interface) di Facebook ha consentito a sviluppatori di terze parti di raccogliere i dati. Cambridge Analytica ha sfruttato questa falla ed è stata in grado di rubare dati agli utenti dell'app di Facebook, nonché a tutte le persone nella rete di amici di quegli utenti su Facebook.

Tecnicamente. Tecnicamente, questo evento non è una violazione dei dati e, invece, un utilizzo errato di dati utente. data.

La seconda violazione dei dati

Quando è avvenuta la violazione? La seconda violazione è avvenuta tra luglio 2017 e la fine di settembre 2018.

Quando è stata scoperta la violazione? La violazione è stata scoperta il 25 settembre 2018.

Quando è stata resa pubblica la violazione? Tale violazione è stata resa pubblica il 28 settembre 2018.

Cosa è stato rubato?

  • Nomi
  • Numeri di telefono
  • Indirizzi email
  • Altre informazioni personali

Quanti dati sono stati rubati? Facebook inizialmente ha riferito che la violazione ha esposto le informazioni di circa 50 milioni di profili, una cifra che è stata successivamente rivista a 30 milioni di utenti con 14 milioni per i quali l'accesso ha riguardato i nomi utente e la cronologia delle ricerche di Facebook.

Come si è verificata la violazione dei dati? Utilizzando una falla nel codice della funzione "visualizza come" di Facebook, gli hacker hanno rubato i token di accesso di Facebook, quindi li hanno utilizzati per accedere agli account degli utenti, ottenendone potenzialmente il controllo.

What Cosa è successo ai dati? Cambridge Analytica ha utilizzato i dati di questi profili per identificare gli elettori indecisi nelle elezioni presidenziali degli Stati Uniti del 2016.9

L'attacco Nasty List di Instagram

Quando è stato eseguito l'attacco? Sconosciuto

Quando è stato scoperto l'attacco? Nei mesi di marzo e aprile 2019

Quando è stato reso pubblico l'attacco? 8 aprile 2019

Cosa è stato rubato?

  • Informazioni di accesso a Instagram:
    • Nomi utente e password
    • Indirizzi email
    • Numeri di telefono

Come è avvenuto questo attacco? Segnalato per la prima volta su Reddit, gli account Instagram compromessi avrebbero inviato agli account seguiti non compromessi messaggi in cui segnalavano di essere in una lista cattiva ("Nasty List") o qualcosa di simile e che contenevano un collegamento dannoso. Un attacco di phishing, questo collegamento dannoso avrebbe indirizzato gli utenti verso una pagina Instagram clonata in cui veniva richiesto di eseguire l'accesso.

How Quanti dati sono stati rubati? La quantità di informazioni sugli utenti di Instagram rubate come risultato di questo attacco è sconosciuto.10

Esposizione dei dati dei file di testo non codificato delle password di Instagram

Quando è avvenuta questa esposizione dei dati? Sconosciuto

Quando è stata scoperta questa esposizione dei dati? Nei mesi di marzo e aprile 2019

Quando è stata resa pubblica questa esposizione dei dati? 18 aprile 2019

Cosa può essere stato esposto? Milioni di password Instagram

Come è avvenuta questa esposizione dei dati? A seguito degli attacchi Nasty List di Instagram, Facebook ha confermato più problemi di sicurezza delle password, rilevando che milioni di password di account Instagram venivano archiviate in un file di testo normale. Sebbene Facebook abbia affermato che "la nostra indagine ha stabilito che queste password memorizzate non sono state utilizzate internamente in modo improprio o accessibili in modo improprio",11 gli utenti le cui informazioni erano nel file di testo in chiaro sono stati incoraggiati a reimpostare la password.

Esposizione dei dati di database non sicuri di Facebook

Quando è avvenuta questa esposizione dei dati? Sconosciuto

Quando è stata scoperta questa esposizione dei dati? Sconosciuto

Quando è stata resa pubblica questa esposizione dei dati? 4 settembre 2019

Cosa può essere stato esposto?

  • Numeri di telefono collegati a 419 milioni di account utente da più database in diverse aree geografiche, tra cui:
    • 133 milioni di record di utenti Facebook con sede negli Stati Uniti
    • 18 milioni di record di utenti nel Regno Unito
    • Più di 50 milioni di record di utenti in Vietnam
  • Oltre agli ID utente e ai numeri di telefono degli utenti di Facebook, sono state incluse informazioni su nome utente, sesso e paese di ciascun account.

Come è avvenuta questa esposizione dei dati? I database non protetti in diversi paesi contenevano ID account Facebook, numeri di telefono e informazioni utente aggiuntive.12

Risorse

  1. Data Breach, Techopedia, 5 settembre 2018.
  2. What is a data breach, Norton, 10 marzo 2020.
  3. Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes, Trend Micro, 10 agosto 2018.
  4. Data Breach, Malwarebytes.
  5. Andy Greenberg, Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob, Wired, 10 settembre 2018.
  6. Koen Van Impe, Don’t Dwell On It: How to Detect a Breach on Your Network More Efficiently, SecurityIntelligence, 22 ottobre 2018.
  7. Logan Strain, 2018: The year of the data breach tsunami, Malwarebytes Labs, 4 aprile 2019.
  8. Ponemon Institute’s 2018 Cost of a Data Breach Study: Global Overview, Ponemon Institute, luglio 2018.
  9. Eitan Katz, The 20 Biggest Data Breaches of 2018, Dashlane blog, 2 gennaio 2019.
  10. Davey Winder, Hackers Are Using Instagram 'Nasty List' To Steal Passwords -- Here's What You Need To Know, Forbes, 14 aprile 2019.
  11. Keeping Passwords Secure, Facebook, 21 marzo 2019.
  12. Davey Winder, Unsecured Facebook Databases Leak Data Of 419 Million Users, Forbes, 5 settembre 2019.