Data Breach Morele.net; alcune considerazioni

Come saprete, l’autority per la protezione dei dati personali della Polonia ha sanzionato la società di e-commerce Morele.net, a seguito del data breach occorsole, della somma di 2.800.000 PLN (circa 650.000 euro).

Stando alle poche informazioni disponibili, il data breach è avvvenuto ad ottobre 2018, ed ha interessato oltre 2,2 milioni di acquirenti.

Tra i dati esfiltrati: nome utente, password (md5crypt hashed), nominativi, numeri telefonici, indirizzi e-mail, indirizzi di spedizione; alcuni clienti (circa 35.000) avevano informazioni addizionali quali informazioni di pagamento, numeri identificativi, livello di istruzione, provenienza e valorizzazione delle proprie finanze, spese sostenute e stato matrimoniale.

La società si è resa conto del data breach a novembre, quando alcuni clienti hanno avvisato di aver ricevuto richieste di ulteriori pagamenti per prodotti che hanno acquistato; erano state predisposte alcune false pagine ad-hoc per ricevere i pagamenti illeciti.

Il garante polacco ha identificato tre infrazioni primarie al Regolamento GDPR:

  • l’azienda non ha rispettato i dettami inerenti ai concetti integrità e confidenzialità;
  • non ha predisposto un sistema di monitoraggio per evidenziare le minacce ed accorgersi della violazione dei dati personali;
  • non ha saputo dimostrare lo specifico consenso relativo ai dati personali di ciascun trattamento.

Sembra che i cracker abbiano avuto accesso alle basi dati tramite il famoso (e purtroppo omnipresente) phpmyadmin.

Questa è la classica situazione nella quale versano moltissime aziende italiane; modalità reattiva, si spera nel meglio e si interviene a danno occorso.

Occorre adottare un nuovo paradigma; modalità proattiva; prevenire, invece che intervenire ex post.

Con security assessment, penetration test e valutazioni di rischio preventive (ad esempio, faccio sempre disabilitare/limitare phpmyadmin, comodo per gli admin ma troppo rischioso).

Da ultimo, e consentitemelo, non è possibile accorgersi di un data breach a distanza di un mese, quando i clienti avvisano che qualcosa non va; specialmente se hai una azienda di e-commerce con due milioni e mezzo di clienti.

P.S. si vocifera che il database frutto del databreach sia disponibile nel dark web; ovviamente non ho verificato.

Tentati databreach su siti web

In questi giorni si stanno evidenziando molteplici tentativi di databreach a danno di siti web.

Il sistema è molto semplice ed è stato già usato in passato con successo; spesso, i webmasters hanno la brutta abitudine di realizzare copie del database per attività di manutenzione e di piazzarle nella root del sito, talvolta dimenticando di cancellarli.

I soliti ignoti, tramite dei bot appositamente predisposti, si sono messi a scansionare innumerevoli siti alla ricerca di tali copie (dump), tentando i nomi più usati, quali:

//db.zip
//db.tar.gz
//db.rar
//2018.zip
//2018.tar.gz
//2018.rar
//2017.zip
//2017.tar.gz
//2017.rar
//2016.zip
//2016.tar.gz
//2016.rar
//123.rar
//123.7z
//111.zip
//111.tar.gz
//111.rar
//1.zip
//1.tar.gz
//1.rar
//1.7z

Si consiglia di non effettuare mai backup temporanei di basi dati in spazi pubblici del sito, in quanto potrebbero essere scaricati da soggetti malintenzionati e realizzandosi, in tal modo, un probabile databreach (di norma i dump non sono cifrati).