Hospitality nel mirino di attacchi informatici durante le Olimpiadi di Sochi

Il 21/02 un gruppo di attivisti ha pubblicato il comunicato nel quale diffondo dati prelevati dalla struttura di Hospitaliy & Retail in occasione delle Olimpiadi di Sochi.

 

Stavolta nel mirino del cyber crimine finisce il settore Hospitality, con un attacco che ha portato alla pubblicazione di nominativi di Clienti, dati di accesso (nomi utenti e password) ed indirizzi e-mail da sito Internet che, secondo il profilo "fornisce servizi di Information Technology da oltre 24 anni alle strutture alberghiere in Russia e ai Paesi Baltici". Il sito in questione è quello di Hospitality and Retail, localizzato in Russia, ma la notizia non è certamente stata tanto eclatante da finire sui giornali (e di sicuro non quelli Nazionali).

I dati pubblicati (e disponibili in Rete liberamente al momento della pubblicazione di questo post) comprendono 1056 record con nomi, cognomi, indirizzi e-mail, login e password di utenti registrati al sito Internet, oltre a qualche centinaio di indirizzi e-mail provenienti da altre "tabelle" del sito.

La cosa per noi non è certo una novità, ma permette di far osservare che il comportamento si sta estendendo a macchia d'olio su qualsiasi tipologia di business, e sicuramente l'alberghiero è uno di quei settori che traggono maggiore profitto dal e-commerce e tutto ciò che concerne la visibilità online. In altri termini, non è rilevante se abbiate o meno un'attività che possiate pensare essere oggetto di un attacco.

Questo attacco non è stato particolarmente complesso, in effetti è possibile estrarre le informazioni utilizzando strumenti disponibili gratuitamente online nei siti Internet che trattano di sicurezza o seguendo qualche seminario online (YouTube è pieno di questo tipo di seminari, tanto per dirne una). Esistono tuttavia degli aspetti che sono degni di nota, a cominciare dal fatto che le password nel database fossero conservate in chiaro (ossia senza alcuna forma di cifratura), rendendole accessibili liberamente in diverse circostanze (sia da parte degli Amministratori di Sistema, sia da parte di chi ha fatto l'attacco).

In diversi post precedenti ho avuto occasione di parlare di fughe di dati o attività che hanno un impatto importante sulla presenza online delle Aziende, e sicuramente questo non sarà l'ultimo, tuttavia è interessante il fatto che in questo caso si parli di una determinata categoria di business correlato ad un momento particolare, ossia l'occasione delle Olimpiadi di Sochi. Diventa ancora più interessante l'argomento alla vigilia di uno degli eventi più importanti di questo periodo (mi riferisco al Expo naturalmente) a livello Nazionale.

Non certo oggetto di questa fuga di dati, non sono fuori usciti (non pubblicamente almeno) numeri di carte di credito o altri dati sensibili, esiste tuttavia la seria possibilità che sia stato solo un primo tentativo che, auguriamoci di no, possa portare alla luce dati differenti.

Ma il fatto che non fossero presenti dati sensibili direttamente accessibili non è certo un fenomeno di cui rallegrarsi. Grazie all'esposizione di nomi e cognomi di persone registrate al sito, grazie alla diffusione dei Social Network, è possibile recuperare maggiori dettagli come il luogo di lavoro o la posizione aziendale.

Questo aspetto è il più sottovalutato tra tutti, ed è ciò che sta alla base di quello che chiamiamo "ingegneria sociale" (Social Engineering), ovverosia "giocare" sulle persone per ottenere informazioni, dettagli e per finire accessi ai sistemi. Solitamente è proprio l'ingegneria sociale a rappresentare l'anello più debole della sicurezza. È sufficiente avere abbastanza dati per impersonarsi telefonicamente o via email come un Amministratore di Sistema per ottenere informazioni di accesso che non dovrebbero essere diffusi. Perchè non dovreste fidarvi del vostro Amministratore di Sistema?

In una visione più ampia, è esattamente questo il motivo per cui un Partner tecnologico che possa portare alla conformità del PCI-DSS diventa strategicamente importante. Le linee guida comprendono già i punti necessari per poter contrapporsi ad un evento del genere, qualora le contromisure tecniche non fossero riuscire a proteggere il sistema in modo adeguato. Avrebbero compreso dei controlli per verificare che il sito fosse sviluppato secondo criteri di sicurezza minimi e revisioni periodiche, assicurandosi (tra le altre cose) che le credenziali dei dati fossero correttamente salvate in forma cifrata nei sistemi. Verosimilmente sarebbero state adottate misure di sicurezza differenti a protezione del Sito (quelle attuali, evidentemente, hanno qualche lacuna) e sistemi di controllo che permettono un'automatica segnalazione dei tentativi di intrusione o estrazione dei dati. La formazione del personale interno sicuramente ridurrebbe l'esposizione del medesimo ad eventuali “manovre sociali” che potrebbero portare a rischi ancora più grandi.

È curioso notare che linee guida come il PCI DSS, o persino il più “nostrano” DPS (Documento Programmatico per la Sicurezza) siano sottovalutati al punto di essere quasi una seccatura, quando al contrario possono rappresentare dei sistemi semplificati di gestione delle problematiche tecniche e burocratiche.

Ma molto più verosimilmente il problema deriva dal fatto che negli ultimi 10 anni, chi fa IT, ha più semplicemente sbagliato il modo di porsi nei confronti delle Aziende.

Disclaimer

I dettagli riportati in questo articolo e le informazioni sono frutto di notizie e ricerche pubblicamente accessibili in Internet. Non sono state effettuate operazioni di alcun genere (nemmeno di carattere didattico) di simulazione o tentativi di intrusione a strutture o siti menzionati nel presente articolo.