"Una fuga di dati mette a rischio più di 150 milioni di utenti". "33 milioni di nomi utente e password sono trapelati a causa di un attacco hacker". Ti sembrano notizie familiari? Man mano che le tecnologie di sicurezza progrediscono e diventano sempre più sofisticate, le aziende faticano a rimanere al passo coi requisiti più recenti. Le notizie di nuove fughe o violazioni di dati sono praticamente all'ordine del giorno: scopri quali sono le differenze tra violazioni e fughe, e come evitare che i dati della tua azienda vengano compromessi.
Prima di tutto, cos'è una fuga di dati? Molto semplicemente, si tratta di un incidente di sicurezza in seguito al quale dei soggetti non autorizzati riescono ad accedere a informazioni riservate. Queste informazioni possono essere rubate, trasferite inavvertitamente o fornite di propria volontà dalle persone. I dati trapelati possono essere digitali (file elettronici) oppure fisici (documenti, lettere, immagini o dispositivi). Le fughe di dati, tuttavia, sono diverse dalle violazioni di dati.
Violazioni di dati e fughe di dati: in cosa differiscono?
Anche se talvolta questi due termini sono usati in modo intercambiabile, non è del tutto corretto considerarli dei sinonimi. Entrambi hanno le stesse conseguenze, ovvero la divulgazione non autorizzata di dati; le cause, però, sono diverse.
Solitamente le fughe di dati sono dovute a misure di sicurezza scadenti o azioni compiute inavvertitamente da qualcuno. Nella maggior parte dei casi le fughe di dati informatici non avvengono con intento doloso e sono causate da un errore umano. I ricercatori esperti di sicurezza di vpnMentor studiano da anni i database aperti e uno dei loro risultati più significativi risale al 2020, quando scoprirono che l'app Key Ring utilizzava un bucket Amazon S3 configurato in modo errato per archiviare 44 milioni di dati. Tra di essi figuravano documenti d'identità , informazioni assicurative, patenti di guida e carte di credito. Anche se nessun malintenzionato se n'era accorto prima dei ricercatori, e l'azienda aveva provveduto alla chiusura del database, l'episodio può essere comunque considerato una fuga di dati.
Le violazioni di dati, al contrario, sono intenzionali. Una violazione di dati si verifica quando un criminale informatico attacca un'azienda o un database, allo scopo di mettere le mani su informazioni sensibili e riservate. Fra le tattiche più comuni usate nell'ambito delle violazioni di dati vi sono gli attacchi DDoS, i malware e le strategie di ingegneria sociale, che possono scardinare le difese di un'azienda. Gli esiti di violazioni e fughe di dati sono simili; le fughe, tuttavia, sono prive dell'intento doloso che contraddistingue le violazioni.
Tipi di fughe di dati
Per individuare tempestivamente le fughe di dati, è necessario saper riconoscere i diversi tipi di incidenti e le strategie che potrebbero causarli.
Errore umano
Una fuga accidentale può scaturire da eventi banali, come ad esempio inviare un'e-mail confidenziale all'indirizzo sbagliato; anche lasciare accessibile al pubblico un database contenente dati di clienti, o smarrire un dispositivo con accesso a informazioni riservate, sono da considerarsi fughe accidentali di dati. Le conseguenze di questi avvenimenti dipendono tuttavia da chi ha ricevuto l'e-mail o trovato il sotterfugio per accedere al database in questione: alcune persone potrebbero ignorare la cosa, mentre altre potrebbero pensare di sfruttarla in modo illecito.
Truffe e violazioni di sistemi
Talvolta può accadere che qualcuno cerchi vulnerabilità nella tua sicurezza, come software obsoleti o bug di sistema, semplicemente per dimostrarne l'esistenza. L'obiettivo non è attaccarti apertamente, quanto piuttosto individuare delle falle per mettere le mani su informazioni che dovrebbero essere inaccessibili dall'esterno. Altre persone potrebbero applicare tattiche di ingegneria sociale per creare l'ambiente ideale per una fuga di dati.
Fuga di dati intenzionale
Benché le fughe di dati spesso non abbiano intenti dolosi, potrebbero comunque essere istigate in modo deliberato. Una situazione di questo tipo può verificarsi quando un dipendente accede ai segreti dell'azienda o ai dati degli utenti per rivenderli in cambio di denaro. Può anche trattarsi di un whistleblower che, avendo obiezioni morali sull'operato della sua azienda, usa le informazioni sottratte per rendere pubblica una questione scottante. In ogni caso, queste persone sanno quello che fanno e di solito cercano di restare anonime mentre operano dall'interno.
Che tipo di dati è esposto a rischi?
Le fughe di dati sono un disastro per le vittime e un'occasione d'oro per i criminali informatici che, di solito, cercano informazioni sensibili importanti per guadagnare grosse somme. Puntano a informazioni legate all'identità come nomi, indirizzi, codici fiscali e dati di carte di credito, da usare successivamente per compiere reati come furti di identità e riciclaggio di denaro. Le credenziali di accesso sottratte illecitamente vengono spesso inserite in database di password rubate, che finiscono in vendita sul dark web.
Quando dei malintenzionati vogliono arrecare danno a una specifica azienda, le informazioni che cercano possono andare ben oltre i dati di identificazione personale. Potrebbero ad esempio concentrare i propri sforzi sull'acquisizione di informazioni aziendali riservate, come comunicazioni interne o piani strategici; anche i segreti commerciali e la proprietà intellettuale, come codici e software proprietari, possono finire nel loro mirino.
Oggi i dati sono fondamentali. Con la crescente frequenza degli attacchi informatici, le aziende devono adottare misure rigorose per garantire la massima sicurezza dei propri dati.
Come vengono utilizzati i dati trapelati?
Dopo aver messo le mani su dati trapelati o rubati, gli hacker possono sfruttarli per i propri obiettivi criminali. Ecco alcuni modi in cui i dati compromessi possono essere usati per finalità dolose.
Ingegneria sociale
I dati violati spesso includono informazioni legate all'identità come nomi, password e indirizzi e-mail, che gli hacker possono usare per perpetrare attacchi di ingegneria sociale. Il phishing è un attacco nel quale gli hacker inviano e-mail fasulle spacciandosi per fonti affidabili, così da convincere la potenziale vittima a scaricare un allegato dannoso o cliccare su un link pericoloso. Se non ci fossero le fughe di password, gli hacker farebbero molta più fatica a indirizzare e condurre con successo i loro attacchi.
Doxing
Il doxing, o doxxing, consiste nel divulgare con intento doloso informazioni che identificano una persona, come il nome, l'indirizzo di casa o il numero di telefono. Dopo aver acquisito i dati trapelati, gli hacker di solito hanno una sovrabbondanza di informazioni per "doxare" una persona. Spesso il doxing ha come bersaglio una persona o un gruppo specifico di persone e questa strategia è stata storicamente usata in campagne di molestie.
Rallentamento o interruzione delle operazioni aziendali
Una fuga di dati può avere un impatto estremamente negativo sull'organizzazione colpita. Secondo la National Cyber Security Alliance statunitense, dopo aver subito una fuga di dati addirittura il 60% delle aziende fallisce nel giro di sei mesi.
Esempi reali di fughe e violazioni di dati
Le fughe e le violazioni di dati sono più comuni che mai e, secondo gli esperti, la frequenza di questi incidenti informatici è destinata ad aumentare in futuro. Ecco qualche esempio di gravi incidenti informatici che hanno travolto aziende di tutto il mondo, alcuni con conseguenze più deleterie di altri:
ChatGPT
Nel marzo del 2023 è stato scoperto un bug nel chatbot ChatGPT di OpenAI che ha causato la perdita di dati degli utenti, tra cui nomi, titoli delle chat e alcuni dettagli delle loro carte di credito. L'azienda ha sottolineato che non erano trapelati i dati completi delle carte, ma solo le ultime quattro cifre e le date di scadenza. La piattaforma è rimasta temporaneamente offline mentre il bug veniva risolto.
Credit Suisse
Nel febbraio del 2022 un whistleblower ha avviato una fuga di dati per smascherare diversi criminali di alto profilo che si avvalevano dei servizi della banca svizzera Credit Suisse; in totale, sono trapelati i dati di oltre 18.000 conti. I dati sottratti sono stati condivisi col quotidiano tedesco Süddeutsche Zeitung, che ha pubblicato uno scottante reportage sul sistema bancario svizzero.
Twitch
Nell'ottobre del 2021, la piattaforma di live streaming Twitch ha rivelato di avere subito una violazione di dati su larga scala. L'attacco ha compromesso oltre 100 GB di dati sensibili, che includevano nomi, indirizzi, e-mail e guadagni degli streamer.
Facebook
Il 3 aprile 2021 un esperto di sicurezza ha scoperto una massiccia perdita di dati che ha coinvolto 533 milioni di utenti di Facebook, per un totale di ben 2.837.793.637 dati trapelati. In media gli hacker avevano violato almeno cinque categorie di dati per utente, tra cui numeri di telefono, nomi e cognomi, date di nascita, ID Facebook, indirizzi e-mail e biografie personali.
Experian
Nel febbraio del 2021 sono emersi rapporti sulla peggiore violazione di dati della storia del Brasile, che ha fatto trapelare le informazioni riservate di oltre 200 milioni di persone e 40 milioni di aziende. I sospetti sono caduti su Serasa Experian, una società che fornisce servizi di informazione e dati. I dati trapelati includevano informazioni di identificazione personale come date di nascita, nomi e cognomi, indirizzi, fotografie degli utenti, affidabilità creditizie, reddito e altri dati finanziari.
Come prevenire fughe di dati e violazioni
Per ridurre al minimo il rischio di fughe di dati, devi stabilire pratiche e procedure di sicurezza adeguate nella tua azienda. Ricorda che non puoi sempre controllare ogni singolo aspetto che riguarda la sicurezza, e nemmeno sapere se, o quando, potresti finire nel mirino dei malintenzionati. Avrai però una maggiore tranquillità adottando alcune misure preventive.
Controlla i tuoi dati
Devi sempre conservare backup dei tuoi dati, senza però archiviare copie non necessarie. Mantieni le informazioni sensibili in un solo database sicuro, anziché su diversi terminali: così facendo, diminuiranno le possibilità di fughe di dati. È fondamentale anche conoscere e controllare chi ha accesso alle informazioni, e di quali dati si tratta. I dipendenti dovrebbero essere autorizzati ad accedere solo ai dati di cui hanno bisogno per il loro lavoro: in questo modo, è possibile evitare incidenti e fughe intenzionali.
Applica restrizioni alle e-mail dei tuoi dipendenti
Puoi configurare Google Drive in modo tale da avvisare i dipendenti ogni volta che tentano di condividere i file dell'azienda con un soggetto terzo. Imposta anche filtri contro lo spam e il phishing, per ridurre il rischio che possibili attacchi di ingegneria sociale vadano a buon fine.
Addestra i tuoi dipendenti
Una comprensione di base dei potenziali rischi di sicurezza informatica è fondamentale per tutte le persone che lavorano in azienda, soprattutto per chi gestisce dati sensibili. Dalla persona addetta alla reception fino all'analista capo, tutti devono essere consapevoli degli attacchi di ingegneria sociale, dei tipi di malware in circolazione e dei requisiti di sicurezza interna. Conoscendo e comprendendo l'entità dei danni che una fuga di dati potrebbe causare all'azienda, il personale si comporterà in modo più attento.
Stabilisci misure di sicurezza solide nella tua azienda
Usa i firewall per proteggere la rete e limitare il traffico specifico. Adotta misure efficienti di protezione contro i diversi tipi di malware, come ransomware, spyware o keylogger. Utilizza una VPN con una crittografia robusta per garantire connessioni sicure, soprattutto se i dipendenti sono spesso in trasferta o lavorano da casa. Assicurati che, per i loro account più sensibili, utilizzino password complesse e l'autenticazione a due fattori. Incoraggia l'uso di un generatore di password per creare password complesse e memorizzarle al sicuro in una cassaforte crittografata, aggiornandole spesso per evitare fughe di password.
Preparati al peggio
Nessuno vuole affrontare lo scenario peggiore, ma gli incidenti possono sempre verificarsi. Di conseguenza, è consigliabile mettere a punto un piano di risposta e controllo dei danni in caso di fughe di dati. Se subisci un attacco informatico, ogni minuto è prezioso: essere in grado di agire tempestivamente può evitare la perdita di ingenti somme di denaro – e della fiducia dei clienti – nel lungo periodo.
Predisponi un approccio in sicurezza all'archiviazione nel cloud.
Ensuring the security of data stored in the cloud is imperative. Without appropriate security measures, sensitive information can be exposed and stolen. Take your time configuring your cloud storage following the best security practices, and if necessary, adopt additional tools to protect your cloud storage.
Valuta e monitora i rischi derivanti da terzi.
Anche se riuscissi a garantire una sicurezza completa per la tua impresa, ricorda che i dati possono trapelare per mano di soggetti terzi, come partner e fornitori. Gli attacchi alla catena di approvvigionamento sono in costante aumento, perciò le aziende devono valutare le loro collaborazioni con terze parti dal punto di vista della sicurezza, al fine di ridurre al minimo il rischio di violazioni di dati.
Pratiche di prevenzione delle fughe di dati
Innanzitutto, scopri che tipo di dati sono trapelati. Nomi di account, indirizzi e-mail e password sono spesso coinvolti in fughe di dati. Se il tuo account è stato violato, modifica la password il prima possibile; in più, se hai usato altrove la stessa password, ricorda di modificarla anche per gli altri account. Se non lo fai, potresti essere vittima di un attacco di credential stuffing e tutti i tuoi account online saranno a rischio. Se la violazione ha coinvolto le tue carte di credito o i dati del conto corrente, contatta immediatamente la banca e blocca le carte.
Se si è verificata una fuga di dati nella tua azienda, è fondamentale agire tempestivamente: cerca di limitare i danni, arginando la perdita non appena la scopri. Avvia subito un'indagine approfondita per appurare cosa è successo esattamente, e perché. Informa la tua clientela della perdita di dati, condividendo tutte le informazioni pertinenti: la data e il tipo di fuga, nonché i sistemi e gli utenti coinvolti. Infine, potenzia l'infrastruttura di sicurezza della tua azienda per ridurre il rischio di futuri incidenti informatici.
Conclusione
Le fughe di dati sono una minaccia in costante crescita nel panorama digitale: per questo motivo, essere previdenti e giocare d'anticipo è più importante che mai. Se sei preoccupato per la sicurezza dei tuoi dati professionali e personali, puoi iniziare ad adottare misure specifiche per proteggerli. La prima cosa da fare è configurare il tuo gestore di password aziendale.
NordPass è un gestore di password che offre uno spazio di archiviazione crittografato per tutti i tuoi dati sensibili, come credenziali di accesso, indirizzi, dettagli di carte di credito o dati identificativi. Oltre a disporre di una cassaforte sicura, potrai anche contare su funzionalità che aiutano a rafforzare la sicurezza dei tuoi dati, come lo strumento Salute password, che verifica se le tue password sono deboli o usate più volte, e il Rilevatore violazioni dati, che ti avvisa se le password sono state coinvolte in violazioni. Gioca d'anticipo rispetto alle fughe di dati e inizia a risolvere le falle di sicurezza, prima che i tuoi preziosi dati finiscano nelle mani sbagliate.