Il caso Equifax: i passi necessari per subire un attacco

Indice del contenuto

Quick read

Il caso dell’attacco informatico ad Equifax, Società americana di valutazione del credito dei consumatori, è uno dei più clamorosi data breach degli ultimi anni e può senz’altro insegnare molto su cosa non fare per evitare un attacco o cosa fare per subirlo.

L’attacco scoperto nel 2017 ha visto la violazione dei dati personali tra cui nomi, numeri di previdenza sociale, numeri di telefono, numeri di carte di credito, storia e situazione creditizia di 145 milioni di americani. Una commissione di inchiesta governativa ha redatto un rapporto sul caso identificando le cause che hanno portato alla violazione dei dati. Tra le principali si possono elencare: 1) gravi carenze nella gestione delle patch alle vulnerabilità note, 2) mancanza di responsabilizzazione del personale con ruoli non chiari (il non chiarire chi fa cosa anche in U.S. fa vittime), 3) mancanza di un asset inventory (se non sai che asset hai come fai a gestirli?), 4) database non crittografati e carenze nei processi di gestione dei data breach. Il caso non è ancora chiuso, ma Equifax rischia una multa dalla Consumer Financial Protection Bureau e dalla Federal Trade Commission intorno ai 700 milioni di dollari.

Close examination

Il databreach Equifax rimarrà sicuramente nella storia come uno dei casi di attacco informatico più rilevanti, considerando il numero di persone coinvolte e la tipologia di dati violati.

Il caso ampiamente dibattuto è stato ricostruito in modo dettagliato da una commissione di inchiesta del Senato degli Stati Uniti D’America.

Il rapporto oltre a ricostruire gli eventi offre spunti chiari su come le azioni da parte di Equifax prima e dopo la scoperta del data breach siano risultate inadeguate e ostacolate dalla trascuratezza e inefficacia delle proprie misure di cybersecurity.

Il principale rilievo che emerge dal rapporto della commissione verte sulla mancanza di un piano di priorità per il trattamento della cybersecurity. Equifax aveva identificato tramite una attività di audit nel 2015, c.a. 8.500 vulnerabilità sui propri sistemi di cui c.a. 1.000 valutate come critiche, alte o a rischio medio. Inoltre, il sistema utilizzato per installare le patch non funzionava in modo corretto e non era presente un asset inventory ovvero, un inventario dei sistemi che potesse aiutare nell’identificazione delle vulnerabilità.

Diverse di queste vulnerabilità sono rimaste non gestite fino al data breach del 2017 nonostante la propria policy per la gestione delle patch (aggiornamenti di sicurezza) redatta a seguito dell’audit del 2015 prevedesse la gestione delle vulnerabilità critiche entro 48 ore dalla scoperta.

Per diversi mesi l’IT di Equifax ha avuto riunioni mensili per monitorare lo stato delle vulnerabilità ma senza un forte interesse da parte dei vertici, basti pensare che la gestione delle patch era una responsabilità gerarchicamente sei livelli sotto il CIO (Chief Information Officer). La vulnerabilità utilizzata da parte degli hacker era presente su un software – Apache Struts – e nonostante fosse nota era rimasta sconosciuta allo sviluppatore responsabile della piattaforma. Il Responsabile dello sviluppatore invece ne era a conoscenza ma, non comunicò l’informazione evidenziando una mancanza di organizzazione e comunicazione.

Oltre a ciò su diversi siti, tra cui quello delle dispute il certificato SSL era scaduto e non aggiornato rendendo di fatto inutile l’uso del protocollo https che dovrebbe garantire una connessione sicura in quanto cifrata.  A luglio 2017 durante l’aggiornamento del certificato SSL del sito delle dispute l’IT di Equifax identifica delle connessioni sospette che porteranno alla scoperta dell’attacco informatico. Dalle indagini inoltre emergerà che il primo accesso dell’hacker risaliva a maggio 2017. L’hacker ha avuto quindi accesso ai sistemi per  c.a. 78 giorni prima di essere individuato.

Una volta dentro i sistemi di Equifax l’hacker ha avuto accesso a database non criptati di informazioni personali tra le quali anche username e password dando così la possibilità di accedere ad ulteriori database.

Dal momento che la violazione fu identificata e comunicata internamente ai vertici di Equifax trascorsero sei settimane prima della comunicazione al pubblico il 7 settembre 2017 e quattro mesi dopo l’attacco.

Action to do

  • Gestione del rischio
  • Vulnerability assessment e penetration test
  • Data breach management
  • Crisis management

Riferimenti

www.carper.senate.gov

© Copyright Axsym Srl – Riproduzione riservata

Condividi articolo:

Condividi su facebook
Condividi su linkedin
Condividi su twitter
Condividi su email

Leggi anche

Iscriviti alla nostra newsletter

per rimanere aggiornato su novità e servizi

Cliccando sul pulsante di invio del modulo acconsenti a ricevere le comunicazioni Axsym su novità, servizi e attività promozionali secondo quanto indicato nell’informativa privacy

Richiedi informazione su Atena

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

INVIA UN MESSAGGIO