Un attore malevole ha messo in vendita nel dark web 34mila credenziali IBM di cui 15 mila relative a dipendenti SAP, multinazionale europea leader nella produzione di software gestionale e soluzioni informatiche per le imprese. A darne notizia il team di Threat Intelligence di Yoroi, il quale ha verificato il campione messo in offerta e ha allertato il pubblico sui pericoli relativi a questa scoperta. Secondo Yoroi l’operazione di cybercrime sarebbe stata messa a segno da NetSec e nel campione ci sarebbero anche indirizzi e-mail aziendali e password di dipendenti della filiale italiana.
Le password messe in vendita sono in forma di hash. Un hash è una stringa alfanumerica generata a partire dalla password tramite particolari algoritmi crittografici che consentono di offuscare la password vera e propria e portarla a una lunghezza uniforme, indipendentemente dalla dimensione del valore di partenza. Anche le password così codificate – spiegano da Yoroi – possono essere superate con specifiche tecniche di attacco e sfruttate per impersonificare specifiche utenze, e utilizzate da attori malevoli per eseguire codice o accessi abusivi a sistemi informativi.
“Il campione in vendita è composto sia da indirizzi e-mail di impiegati sia delle relative password in forma codificata. Seppure non siano disponibili in chiaro, il semplice possesso di queste password consente di effettuare una serie di attacchi sia diretti che mediati dall’ingegneria sociale”, spiega il team di Yoroi.
Secondo il ceo di Yoroi (Gruppo Tinexta), Marco Ramilli, “non importa la dimensione dell’organizzazione, è ormai evidente che siamo tutti soggetti ad attacchi. Però sono accadimenti come questi che continuano a mostrarci quanto la sicurezza informatica sia un ciclo atto al continuo miglioramento. Non possiamo mai ritenerci completamente sicuri. Ma bisogna insistere con un continuo lavoro attento e meticoloso, possibile con occhi vigili e tecnologie abilitanti”.
Le due aziende annunciano indagini approfondite ma al momento nessuna prova. “Siamo a conoscenza di un comunicato riguardante le presunte credenziali dei dipendenti Ibm. Stiamo attualmente indagando. Ricordiamo che l’autenticazione a più fattori è una delle misure di sicurezza richieste dalle procedure operative Ibm per l’accesso ai sistemi. Non risulta che sia stato effettuato un accesso inappropriato ai sistemi Ibm o dei clienti”, quanto ha dichiarato Ibm in uno statement.
Sap ha affermato di essere “a conoscenza del fatto che alcune e-mail dei dipendenti siano state pubblicate ed è anche a conoscenza di affermazioni secondo cui sono state scoperte password dei dipendenti Sap crittografate. È in corso un’indagine approfondita, ma al momento non abbiamo alcuna prova che sia stato effettuato l’accesso ai sistemi Sap, né che le informazioni personali dei dipendenti siano state prese di mira”.
