Il Sans Institute, la società statunitense che dal 1989 si occupa di sicurezza delle informazioni e formazione sulla sicurezza informatica, ha subìto un data breach che ha esposto circa 28mila record utente contenenti informazioni sensibili del suo personale. Come? Attraverso una mail di phishing che ha attivato una regola di Office365 facendo inoltrare automaticamente una serie di messaggi di posta elettronica dall’account di una persona specifica a uno esterno sospetto.
Dunque, non sono bastati gli oltre 30 anni di esperienza nel campo della cybersecurity a evitare la fuga di file contenenti nomi e cognomi, indirizzi mail, titoli professionali, indirizzi, paesi di residenza e altri dati sia del personale sia dei clienti del Sans Institute. Tuttavia, a quanto risulta da una prima indagine, i dati a cui si accede non contengono informazioni relative alle password né ai dati finanziari come numeri di carte di credito.
Ad accorgersi della violazione sono stati i tecnici informatici durante la revisione sistematica della configurazione e delle regole della posta elettronica avvenuta il 6 agosto. Oltre 500 mail sono state inoltrate a un indirizzo sospetto: sebbene la maggior parte delle stesse fosse innocua, alcune invece contenevano file con informazioni di identificazione personale. I record inviati all’indirizzo sospetto sono stati circa 28mila. L’Istituto rivela:
Abbiamo identificato una singola e-mail di phishing come vettore dell’attacco. Come risultato dell’e-mail, l’account di posta elettronica di un singolo dipendente è stato influenzato. A parte l’utente interessato, attualmente riteniamo che nessun altro account o sistema presso SANS sia stato compromesso.
Dopo aver rilevato l’attività dannosa, il nostro team IT e di sicurezza ha rimosso la regola di inoltro e il componente aggiuntivo dannoso di O365. Abbiamo anche cercato eventi simili in tutti gli altri account e nei nostri sistemi. Non abbiamo trovato altre indicazioni di compromesso.
Abbiamo identificato le persone le cui informazioni sono state esposte e le abbiamo o le informeremo dell’incidente con i dati tramite e-mail.
L’Istituto comunica, inoltre, di non aver allertato le autorità ma di aver avviato un’indagine interna per determinare la natura dei dati in questione e verificare se ci fossero azioni di mitigazione da intraprendere.
Per maggiori dettagli https://www.sans.org/dataincident2020
