Progetto di Tesi “OSINT and Credential Stuffing Mitigation: Top Italian Enterprises Assessment Report”

Per un progetto di Tesi in Cybersecurity presso la Facoltà di Ingegneria Informatica dell’Universitas Mercatorum – Università delle Camere di Commercio Italiane è stata misurata e analizzata la risposta delle prime 50 aziende italiane per fatturato e capitalizzazione di mercato alla notifica di pubblicazione e data leak legate a credenziali di piattaforme terze usate dai propri dipendenti tramite account di lavoro.

Il rischio che queste credenziali possano essere utilizzate da malintenzionati quale veicolo di attacchi mirati a danneggiare le singole aziende è molto alto e solo negli ultimi 12 mesi vi sono tantissimi casi di attacchi ai danni di grandi imprese veicolati tramite credenziali aziendali rese pubbliche nei sempre più diffusi Data Leak di piattaforma terze.

Come è potuto accadere?

Il dipendente spesso non ha realmente grandi responsabilità nel furto delle proprie credenziali, immaginiamo il caso di un dipendente dell’area Marketing che per produrre alcune semplici grafiche per i Social Network si sia iscritto alla piattaforma Canva.com leader globale nelle piattaforme SaaS di produzione di grafiche e materiali multimediali.

In data 11 gennaio 2020, Canva è venuto a conoscenza di un elenco di circa 4 milioni di account Canva contenenti password utente trapelate nell’ambito della violazione del 24 maggio 2019 (vedi note sotto, con data 1 giugno alle 10:13 AEST).Tali password sono state decrittate e recentemente condivise online. Fonte: Sito ufficiale di Canva sull’incidente di sicurezza

Questo significa che le credenziali di 4 milioni di utenti, spesso aziendali, sono state pubblicate e rese accessibili su piattaforme e forum utilizzate da hacker e ricercatori di sicurezza di tutto il mondo.

Dipendenti Consapevoli e non

La differenza tra dipendente consapevole e diligente e dipendente superficiale e negligente sta nell’utilizzo di password differenti per ogni piattaforma e servizio utilizzato con una netta linea di separazione tra piattaforme esterne e quelle usate internamente a lavoro.

Un altro caso di negligenza a lavoro è rappresentato da dipendenti che non solo utilizzano credenziali aziendali per registrarsi e accedere a piattaforme terze ma che utilizzano le e-mail di lavoro per registrarsi a siti e piattaforme non legate all’attività lavorativa es. Social Network, Piattaforme di Gaming, Siti di Incontri e che, esponendo le proprie informazioni personali, possono essere vittima di attacchi di Social Engineering volti a sfondare il perimetro di sicurezza aziendale.

Come difendersi?

Fornire a tutti i dipendenti una formazione minima sui temi della Cybersecurity, così come avviene per la Sicurezza sui Luoghi di Lavoro, rappresenta il primo passo per rafforzare il perimetro di sicurezza digitale e fisico di una impresa.

Se la formazione e l’accrescimento delle competenze minime di tutti i dipendenti rappresenta un primo passo capace di proteggere in maniera sostanziale, se pur passivamente, l’impresa e i suoi asset, le aziende e i manager possono monitorare attivamente la presenza di credenziali afferenti i propri domini digitali rivolgendosi a servizi gratuiti e\o a pagamento che offrono questo tipo di notifiche come la famosa piattaforma (gratuita) Have I Been Pwned? realizzata a titolo gratuito dal ricercatore di sicurezza e manager di Microsoft Troy Hunt

La pubblicazione della Tesi

La tesi su cui è basato questo lavoro di ricerca sarà pubblicata a giugno 2021 e conterrà un’analisi dei tempi di risposta (eventuale) da parte dei Data Protection Officer delle prime 50 aziende italiane in ordine di fatturato e\o capitalizzazione di mercato offrendo anche un particolare focus sull’ambito qualitativo di un campione di risposte.