mercoledì 26 giugno 2019

Symantec, violazione espone lista clienti e password: hack minimale


Dati che includono un presunto elenco di clienti, comprese grandi società australiane e agenzie governative, sono stati sottratti dal principale produttore di antivirus Symantec. La più importante società statunitense di sicurezza informatica, Symantec, afferma che una violazione dei dati che ha permesso agli hacker di accedere alle password e a una lista presunta dei suoi clienti è considerato un "incidente minore". La violazione non è stata segnalata perché Symantec, a suo tempo, ha concluso che gli hacker hanno attaccato un laboratorio utilizzato a scopo dimostrativo, e non l'intera rete aziendale.

Guardian Australia ha riferito sull'incidente, dicendo che i dati rubati includono password e numeri di account Symantec. L'elenco di clienti apparenti comprende, tra gli altri, la polizia federale australiana, le principali banche, università e dettaglianti, secondo quanto riferito dal giornale. Secondo Symantec, tuttavia, i dati sono in gran parte fasulli. La società ha dichiarato che l'incidente è stato contenuto in un ambiente di test isolato e chiuso in Australia, non collegato alla rete aziendale. Symantec ha descritto i dati come "di basso livello e non sensibili" e gli account di posta elettronica coinvolti come "e-mail fittizie". 

Un portavoce di Symantec ha dichiarato che anche la lista dei clienti è falsa e che le entità "non sono necessariamente clienti di Symantec". Gli hacker hanno estratto un elenco di presunti clienti dei servizi CloudSOC CASB (cloud access security broker), account manager e numeri di account Symantec, ma l'azienda insiste che i dati contenuti nel sistema sono "e-mail fittizie e un piccolo numero di file di basso livello e non sensibili in un Demo Lab non utilizzato per scopi di produzione". Il giornale ha confermato che alcuni di loro, incluso il Dipartimento dei servizi sociali dell'Australia, sono utenti dei prodotti Symantec. 

Un'altra agenzia governativa elencata tra i file rubati, tuttavia, afferma di avere interrotto il rapporto da sei anni. L'uso di tali "dati fittizi" non è raro, spiega Gizmodo, e offre alle aziende la possibilità di rilassare i protocolli di sicurezza durante il test di nuovi prodotti. Gli sviluppatori di un progetto potrebbero non tutti lavorare nello stesso edificio o addirittura nello stesso continente. L'utilizzo di informazioni false sui clienti consente loro di condividere l'accesso al loro lavoro più rapidamente senza timore di perdite di dati sensibili. Le aziende che utilizzano i dati dei clienti reali per i test spesso ne soffrono.

L'applicazione anonima sul posto di lavoro Blind, ad esempio, ha esposto temporaneamente le informazioni sensibili lo scorso anno dopo aver trasferito una parte delle informazioni dei suoi clienti in un ambiente di test. I dati non sono stati immediatamente crittografati o cancellati, così come il protocollo. Un hunter di data-breach ha scoperto rapidamente i dati rimasti accessibili sul server - tra i quali email, messaggi privati e password salvate in formato MD5 - e ne ha condiviso le notizie con un giornalista. L'anno scorso, la compagnia per la perdita di peso Weight Watchers ha lasciato un ambiente di test accessibile online.

La società ha detto che non sono state esposte informazioni di identificazione personale, sebbene il team di sicurezza che lo ha scoperto è rimasto scettico. L'Australian Privacy Act crea uno schema di notifica obbligatoria quando una violazione dei dati può causare gravi danni alle persone le cui informazioni personali sono coinvolte nella violazione. Il portavoce di Symantec ha affermato di trattare "qualsiasi incidente di sicurezza informatica - indipendentemente dalla sua portata o gravità - con la massima priorità e con molta cautela nel rispetto delle leggi dei Paesi in cui facciamo affari in tutto il mondo".

Nel maggio 2018 l'Unione europea (UE) ha introdotto il regolamento generale sulla protezione dei dati (GDPR), una legge che illustra come è possibile accedere ai dati personali e aumentare la privacy dei cittadini in tutta l'UE. Il GDPR richiede alle imprese (nell'UE) di dichiarare quali dati personali sono stati acquistati e il loro uso previsto, consentendo agli individui di controllare la propria privacy. Dal 1988 l'Australia ha adottato una legge simile per proteggere la privacy e l'identità dei cittadini, l'Australia Privacy Act (APA), non applicabile però a tutte le piccole imprese (2 milioni di dollari o meno di fatturato annuo).


Nessun commento:

Posta un commento