La CNIL riferisce regolarmente sulle violazioni di dati tipiche che scaturiscono da incidenti reali che le vengono segnalati. Lo scopo di questa pubblicazione è quello di consentire a tutti i professionisti di comprendere e prevenire i rischi derivanti dall’accesso ai dati detenuti dai sub-responsabili.

La storia di Bu3ba e Dan

Il corso dell’attacco

1. Alcune settimane prima dell’attacco, Bu3ba, un hacker, aveva raccolto una moltitudine di indirizzi email professionali dal dark web.
    
2. Poi lancia una campagna di phishing , un’operazione economica ed efficace. Utilizzando uno degli indirizzi raccolti, Bu3ba ha inviato un messaggio a una piattaforma logistica, fingendosi un cliente noto dell’azienda (ha notato il logo dell’azienda nella pagina “I nostri clienti” del sito web della piattaforma).
   
   Il messaggio falso, che sembra legittimo, richiede un’azione urgente e fornisce un collegamento a una schermata di autenticazione con i colori dell’azienda cliente. Il dipendente della piattaforma si autentica automaticamente con il nome utente e la password condivisi all’interno del team. Viene visualizzato un messaggio che indica che il sistema non è disponibile.
    
3. Bu3ba è riuscito nel suo attacco e inizia la raccolta: rileva un accesso diretto, senza alcuna protezione , a un servizio che sembra contenere un grande volume di dati. Poi si dedica completamente a quest’ultima.
    
4. Accedendo con l’account rubato del dipendente, Bu3ba ha scoperto di avere accesso solo ai dati relativi a due aziende clienti. L’accesso è però totale e lo strumento che lo offre avvia il download dei dati per ognuno di questi database.
    
5. Da questo stesso account, accede ad altri database client modificando le query inviate al database . Vengono visualizzati i dati di un terzo importante conto cliente: lui li scarica. Con pazienza e meticolosità, raccoglie un grande volume di dati da ogni cliente, che poi inizia ad analizzare.
   
   Dato il servizio offerto (logistica), i dati sono principalmente dati personali: stato civile, indirizzo postale, indirizzi e-mail, numeri di telefono, ma anche riferimenti di ordini e richieste specifiche, in quantità molto grandi. In questi diversi database sono presenti diversi milioni di linee.
    
6. Per coprire il più possibile le sue tracce, Bu3ba ha utilizzato diverse VPN che attraversano diversi Paesi, non necessariamente collaborative tra loro. Il livello di sicurezza complessivo era (molto) basso: non era necessario appartenere a un determinato intervallo di indirizzi IP o utilizzare una VPN per connettersi da Internet. Non c’è stata alcuna interruzione quando ha avviato i vari download: sospetta l’assenza del DLP ( Data Loss Prevention), un dispositivo che normalmente permette di contrastare questo tipo di download massivi. Non sapendo se esistesse una cosa come la registrazione minima  , aspettò qualche mese prima di pubblicare le sue scoperte.
    
7. Bu3ba ha pubblicato il file su un forum del dark web  e ha aggiunto uno screenshot di alcune centinaia di righe dal database. Presto la notizia si diffonderà: come spesso accade, sarà a questo punto che la vittima scoprirà l’attacco hacker, probabilmente attraverso un post che la attacca su un social network. Nel migliore dei casi, sarà il servizio IILS (Internet Information Leak Search) di uno dei clienti ad avvisarlo.

Come reagire?

L’indagine interna

Poche ore dopo la pubblicazione di Bu3ba, Dan, responsabile della protezione dei dati per un cliente di una piattaforma logistica, ha ricevuto una chiamata dalla polizia che lo informava che dati appartenenti alla sua organizzazione erano online sul dark web . Un utente di Internet ha individuato un file contenente una grande quantità di dati, alcuni dei quali collegati al datore di lavoro di Dan, e ha lanciato l’allarme.

Il team di Dan analizza il campione caricato e conclude che i dati sembrano appartenere a loro. Tuttavia, il Security Operations Center (“SOC”   ) dell’azienda di Dan non ha rilevato alcun attacco su larga scala al loro sistema informatico che avrebbe potuto compromettere il sistema in generale.

Tuttavia, dopo ulteriori indagini, sembra che questi dati corrispondano a quanto trasmesso a un sub-responsabile ai fini della consegna. Dan contattò subito il suo subappaltatore, che era stato appena avvisato da un altro suo cliente. In questo modo si scopre il punto d’ingresso.

Notifica della violazione alla CNIL e informazione ai privati

Con l’aiuto del suo subappaltatore, Dan dovrà gestire la violazione dei dati personali che l’incidente costituisce ai sensi del GDPR . Ha quindi 72 ore di tempo dalla scoperta dell’incidente per effettuare questa notifica alla CNIL.

Il subappaltatore dispone di procedure interne di gestione degli incidenti e raccoglie una serie di elementi per aiutare i titolari del trattamento dei dati a effettuare le notifiche di violazione dei dati.

1. Documentare e notificare alla CNIL . Per prima cosa, Dan consolida le informazioni raccolte dal suo fornitore di servizi e documenta questo incidente come una violazione dei dati personali. Dopo aver analizzato e consultato il parere della CNIL in materia, notifica la violazione dei dati.
    
2. Informare le persone. I dati interessati non sono sensibili ai sensi della legge . Tuttavia, a seguito della violazione sono trapelati più di un milione di indirizzi, e-mail e numeri di telefono, pertanto il rischio è da considerarsi elevato. Redige un messaggio informativo per i clienti interessati , fornendo le informazioni obbligatorie: le circostanze dell’incidente, la natura dei dati interessati, il punto di contatto per ottenere ulteriori informazioni, le misure già adottate e pianificate, nonché le possibili conseguenze per le persone interessate, nel caso specifico, il furto di dati bancari.
   
   Dopo aver contattato l’unità violazioni della CNIL ( violations@cnil.fr ) per garantire che le informazioni fossero il più chiare possibile per i destinatari, si è deciso di redigerle sotto forma di risposte alle seguenti domande:

• “Quello che è successo?” »
• «Come abbiamo reagito? »
• “Quali dati sono interessati?”
• «Quali sono le possibili conseguenze? »
• “Quali sono i nostri consigli? »
• e “Chi contattare in caso di domande?”. 

3. Completa la notifica. In seguito alla notifica alle persone interessate, Dan ha effettuato una notifica supplementare alla CNIL e ha trasmesso le nuove informazioni  : una cifra precisa del numero di persone interessate, la descrizione del percorso seguito dall’aggressore, le misure attuate per evitare che ciò si ripeta, il numero di persone informate e un modello non nominativo del messaggio loro inviato.
    
4. Evitare ulteriori attacchi . Una volta gestita la crisi, Dan, i cui superiori hanno già ordinato un audit interno, riferirà nuovamente al subappaltatore sull’inadeguatezza delle sue misure di sicurezza e chiederà che vengano rafforzate alla luce dei rischi.

Come si può limitare questo rischio?

 In qualità di titolare del trattamento dei dati, imponi nei tuoi contratti misure di sicurezza e controlli periodici ai tuoi subappaltatori .

 Non consentire la condivisione di account o password all’interno di un team: ogni utente deve avere un account personale , questo è necessario in caso di attacco per tracciare i progressi e sapere da dove è iniziata la compromissione; Inoltre, la vendita di conti da parte dei dipendenti è una realtà, un conto personale limita questo rischio.

 Assicurarsi che la registrazione dettagliata degli accessi e delle azioni sia implementata su tutte le applicazioni.

 Analizzare proattivamente i log generati per rilevare eventi sospetti in modo che possano essere elaborati il ​​più rapidamente possibile. Informa i tuoi clienti sulle misure di sicurezza in atto.

 Evita la possibilità di un accesso dannoso agli strumenti tramite Internet. Imporre l’uso di una VPN e dell’autenticazione a più fattori per l’accesso remoto.

 Non consentire agli utenti, ad eccezione di ruoli ben definiti per i quali è assolutamente necessario, la possibilità di scaricare tutti i dati: limitare questa possibilità sia in termini di portata dei diritti di accesso sia di frequenza e dimensione delle richieste.

 Implementare una rigorosa segregazione tra i diversi database, client o di altro tipo, ed effettuare audit su questo punto.

https://www.cnil.fr/fr/compromission-donnees-chez-un-sous-traitant-quels-risques