Nel 2016 Uber ha subito il furto dei dati personali di 57 milioni di autisti e clienti, non segnalando la violazione e pagando agli hacker 100mila dollari di riscatto. Ne abbiamo parlato con David Gubiani, Security Engineering Manager di Check Point Software Technologies, che ci ha spiegato quali siano stati i punti deboli nelle politiche di sicurezza aziendale adottata e come ci si può difendere in ambito cloud.
Può raccontarci cosa è accaduto?
Oltre a usare GitHub per memorizzare il codice sorgente, i programmatori di Uber hanno utilizzato un repository GitHub per caricare le credenziali di sicurezza, le chiavi dei server di Uber ospitati su Amazon.Per questo motivo, quel che gli hacker hanno dovuto fare è stato semplicemente trovare queste chiavi e farsi un giro con “la macchina”. In questo caso, “la macchina” includeva i dettagli della patente, insieme a molti altri dati personali dei clienti internazionali di Uber, inclusi nomi, indirizzi e-mail e numeri di telefono – nessuno dei quali era crittografato o protetto da qualcosa di più di un nome utente e una password.
Mentre i fornitori di cloud pubblici offrono forti controlli di sicurezza sull’infrastruttura cloud, la responsabilità di proteggere i dati che risiedono sul cloud rimane comunque ai clienti, come viene spiegato anche in un whitepaper dedicato al modello di responsabilità condivisa. Queste violazioni sarebbero meno comuni se le aziende lo adottassero in modo più serio e seguissero di più le best practice sulla sicurezza in ambito cloud.
Come si poteva prevenire questa violazione?
Ci sono diversi modi in cui Uber avrebbe potuto prevenire questo attacco. Utilizzando l’autenticazione a due fattori, che GitHub ora fornisce, l’ulteriore livello di sicurezza avrebbe impedito agli hacker di accedere all’account dei programmatori di Uber.
Anche l’uso delle chiavi SSH e la separazione dei dettagli di accesso e del codice avrebbero ridotto il rischio. Inoltre, l’accesso avrebbe potuto essere limitato implementando un approccio SDP (software-defined perimeter) ai propri dati. Ciò avrebbe fatto leva su molteplici fattori di identificazione per l’accesso ai dati perimetrali cui gli hacker volevano accedere, rendendo così la violazione meno probabile.Il modello di responsabilità condivisa è una politica che deve essere adottata per garantire che i dati dei clienti siano archiviati in modo sicuro nel cloud – sia dal cloud provider sia dall’organizzazione che lo utilizza. In questo modo, le aziende eviteranno di essere i prossimi target.
Noi di Check Point Software Technologies stiamo lavorando molto per sensibilizzare l’opinione pubblica sull’importanza della prevenzione in materia di sicurezza informatica, sottolineando che è ormai fondamentale per le aziende dotarsi di tecnologia e personale competente per affrontare e prevenire i pericoli provenienti dal web in vista anche dell’adeguamento alla normativa europea GDPR prevista per maggio 2018.
Best practice in tema di cloud
A completamento delle indicazioni di Gubiani, ecco le raccomandazioni tratte dal blog di Check Point, per gestire la partnership con il cloud provider.
Un approccio basato sulle best practice per la protezione dei dati dei clienti nel cloud dovrebbe includere una protezione di rete, l’identity management e un controllo degli accessi minimi, oltre alla crittografia dei dati.
Queste funzionalità chiave di sicurezza sono poste sul lato client del modello di responsabilità condivisa e applicarle al proprio ambiente cloud non solo aiuta a prevenire la perdita di dati, ma permette anche di tracciare chi e cosa sta entrando e/o uscendo dal proprio cloud.