Vertafore, un’azienda di Dallas di servizi e soluzioni digitali rivolti al mondo delle compagnie assicurative, ha recentemente pubblicato una dichiarazione in cui riportava l’analisi di un data breach rilevato in agosto e tutt’ora in corso di investigazione. Secondo quanto scoperto fino ad ora, risulta che a causa di un errore umano tre file di database sono stati spostati in un servizio di archiviazione esterno poi risultato accessibile senza autenticazione.
In conseguenza all’errore di configurazione del database, dunque, sono stati esposti i dati di circa 27.7 milioni di guidatori del Texas che risultavano accessibili e consultabili. Le informazioni contenute riguardavano le patenti emesse prima di febbraio 2019, nominativi, date di nascita, indirizzi e numeri di targa dei veicoli associati.
Sempre dalla dichiarazione, gli accessi abusivi ai file sarebbero stati potenzialmente realizzati fra marzo e agosto, determinando così di fatto l’esposizione degli interessati. Come risposta all’incidente, Vertafore ha da un lato avviato delle investigazioni per ricercare eventuali usi illeciti delle informazioni collaborando anche con le autorità, nonché si è attivata anche offrendo a tutti i guidatori coinvolti un anno di servizio di monitoraggio del credito e ripristino dell’identità in caso di frode al fine di contenere le conseguenze negative che potrebbero realizzarsi.
Nonostante non siano stati individuati impieghi illeciti delle informazioni, l’azienda ha correttamente identificato (come l’offerta di contromisure suggerisce) il rischio di furto di identità e frode, in quanto ricorrente in situazioni analoghe. È infatti possibile, per un cybercriminale, impiegare tali informazioni collegandole ad altre contenute in database compromessi, o anche come base per svolgere attacchi di phishing mirato.
Un “semplice” errore di configurazione degli accessi da cui deriva l’esposizione di un database è una storia non nuova, anche per organizzazioni molto grandi e strutturate.
In che modo è possibile agire in modo preventivo nei confronti di questo tipo di minaccia, che secondo un’analisi di contesto storico è tutt’altro che inusuale? Una delle soluzioni più comunemente applicabili, ad ogni livello e dimensione organizzativa, è affiancare ai controlli tecnici percorsi di formazione e addestramento degli operatori di carattere concreto, coerenti con un piano di sicurezza progettato e misurato per affrontare proprio le minacce derivanti dagli errori umani.
Per fare tutto ciò in modo corretto occorre svolgere ed aggiornare le analisi di rischio, spesso trascurate o lasciate a prender polvere dopo una fin troppo entusiasta prima emissione e rev 1.0 all’interno dei manuali organizzativi. La sicurezza delle informazioni, soprattutto negli scenari tecnologici mutevoli e molto ampi del mondo digitale richiede un approccio di processo, con monitoraggio e miglioramento continuo.
