Sono state violate le email di un istituto che si occupa di violazione delle email

14 Agosto 2020 – 0:13

(foto: JOKER/Alexander Stein/ullstein bild via Getty Images)Il Sans Institute ha subito una violazione dei dati che ha esposto circa 28mila record utente contenenti informazioni sensibili del suo personale. La causa: una mail di phishing che ha attivato una regola di Office365 facendo inoltrare automaticamente una serie di messaggi di posta elettronica dall’account di una persona specifica a uno esterno sospetto. Considerate che il Sans Institute è una società statunitense privata a scopo di lucro che dal 1989 si occupa di sicurezza delle informazioni e formazione sulla sicurezza informatica. Dunque, non sono bastati gli oltre 30 anni di esperienza nel campo della cybersecurity a evitare la fuga di file contenenti nomi e cognomi, indirizzi mail, titoli professionali, indirizzi, paesi di residenza e altri dati sia del personale sia dei clienti del Sans Institute.

Ad accorgersi della violazione sono stati i tecnici informatici durante la revisione sistematica della configurazione e delle regole della posta elettronica avvenuta il 6 agosto. Oltre 500 mail sono state inoltrate a un indirizzo sospetto: sebbene la maggior parte delle stesse fosse innocua, alcune invece contenevano file con informazioni di identificazione personale. I record inviati all’indirizzo sospetto sono stati circa 28mila. Per fortuna, né le informazioni finanziarie né le password degli utenti sono state coinvolte nell’incidente. “Abbiamo identificato una singola mail di phishing come vettore dell’attacco. Il risultato: l’account di un singolo dipendente è stato influenzato”, spiega il Sans Istitute in un post sul suo blog. “A parte lui, attualmente riteniamo che nessun altro account o sistema presso SANS sia stato compromesso”.

Si è trattato, dunque, di un attacco phishing, il più frequentemente utilizzato dai cybercriminali, poiché riesce a bypassare le difese informatiche sfruttando la debolezza umana. Le mail di phishing, infatti, approfittano della disattenzione dell’utente che, abbassando la guardia dalle possibili minacce informatiche, cade nel tranello e senza accorgersene apre la porta ai cybercriminali. “Dopo aver scoperto l’attività dannosa, il nostro team IT e di sicurezza ha rimosso la regola di inoltro e il componente aggiuntivo dannoso di Office365. Abbiamo anche cercato eventi simili in tutti gli altri account e nei nostri sistemi. Non abbiamo trovato altre indicazioni di compromesso”, continua il Sans. Che ha quindi immediatamente disabilitato la fonte del leak evitando ulteriori perdite di informazioni. Mentre un’indagine interna è in corso, la società provvederà a informare le persone i cui dati sono stati coinvolti nella violazione.

