Data breach Postel: lezione sulle vulnerabilità aziendali

Punti principali:
Cosa è importante sapere:

Vulnerabilità trascurata: Postel è stata colpita da un attacco informatico a causa di una falla non corretta in Microsoft Exchange.
Perdita di dati e sanzioni: 25.000 record finiti nel dark web e multa di 900.000 euro.
Soluzione: un patching management efficiente e una gestione più attenta delle vulnerabilità potrebbero evitare simili danni.

Tempo di lettura: 4 minuti
Punti principali:

Data breach Postel: un attacco evitabile? Lezioni importanti per le aziende su vulnerabilità e patch management

La recente sanzione imposta dal Garante della privacy a Postel S.p.A. a seguito di un attacco informatico ha evidenziato problematiche rilevanti per aziende di ogni settore, particolarmente per quelle di produzione, installazione e commercio B2B. Questo episodio, che ha portato a un grave data breach e alla successiva esposizione di dati nel dark web, mostra quanto sia cruciale la gestione efficace delle vulnerabilità dei sistemi.

In questo articolo risponderemo alle principali domande emerse dall’accaduto: chi è stato coinvolto, cosa è successo, quando e come si è verificato l’attacco, e soprattutto perché le aziende devono rivedere i propri processi di sicurezza informatica.

Cosa è successo e chi è stato coinvolto?

Postel S.p.A., società del gruppo Poste Italiane, è stata attaccata da un cyber criminale che ha sfruttato due vulnerabilità specifiche (CVE-2022-41080 e CVE-2022-41082) nel sistema Microsoft Exchange. L’attacco ha portato all’esfiltrazione di dati personali di circa 25.000 persone, alcuni dei quali non sono stati recuperabili.

Il Garante della privacy ha sanzionato Postel con una multa di 900.000 euro per la mancata protezione dei dati e per le carenze nei processi di patch management. Questo caso ha destato l’attenzione pubblica, in quanto dimostra come una vulnerabilità non corretta possa portare a gravi conseguenze finanziarie e alla perdita di fiducia.

Come è avvenuto l’attacco?

L’attacco ha sfruttato due vulnerabilità di Microsoft Exchange che erano già state segnalate da Microsoft e dal CSIRT (Computer Security Incident Response Team). Nonostante la disponibilità delle patch, Postel non ha aggiornato i sistemi in tempo utile, lasciando un accesso non protetto. Gli attaccanti sono così riusciti a creare un’utenza amministrativa, garantendo il controllo dei sistemi a lungo termine.

data breach postel patching vulnerabilita

Perché le vulnerabilità sono un rischio così grave?

Le vulnerabilità nel software rappresentano una delle principali vie di accesso per gli hacker. Un’azienda che non corregge tempestivamente queste debolezze si espone al rischio di attacchi, perdite di dati e sanzioni. Nel caso di Postel, la mancanza di aggiornamenti è stata interpretata come una negligenza nella gestione della sicurezza informatica e della privacy dei dati, violando il principio del GDPR di “privacy by design”.

Gli attaccanti hanno utilizzato due falle zero-day:

  • CVE-2022-41080: una vulnerabilità di Server-Side Request Forgery (SSRF) che ha permesso agli hacker di ottenere privilegi elevati.
  • CVE-2022-41082: una falla che consentiva l’esecuzione di codice remoto tramite PowerShell, permettendo agli hacker di installare e far girare codice malevolo sul sistema.

Entrambe le vulnerabilità sono state rilevate su Microsoft Exchange Server 2013, 2016 e 2019, evidenziando che anche i software consolidati e diffusi richiedono un’attenta e continua gestione.

Quali sono state le conseguenze?

Oltre al danno finanziario, con una sanzione di 900.000 euro, il data breach ha portato alla perdita di 25.000 dati personali che sono finiti nel dark web. Alcuni di questi dati non sono stati recuperabili, determinando una perdita permanente di informazioni sensibili. Per le aziende, questo è un esempio di come una semplice vulnerabilità non risolta possa trasformarsi in un serio rischio per la reputazione e la fiducia dei clienti.

Il caso Postel, inoltre, ha evidenziato carenze nella notifica dell’attacco al Garante della privacy. La segnalazione risultava incompleta, poiché ometteva dettagli rilevanti come la piattaforma compromessa e le specifiche delle vulnerabilità. Questo è un aspetto cruciale, poiché le normative GDPR richiedono alle aziende di fornire informazioni complete e dettagliate per facilitare il controllo e la gestione dei rischi.

Cosa possiamo imparare da questo caso?

Il caso Postel porta alla luce lezioni importanti per tutte le aziende, in particolare per quelle del settore B2B e dei servizi. Di seguito, alcuni punti chiave per migliorare la gestione della sicurezza informatica:

  • Implementare un processo automatizzato di patching management: l’aggiornamento tempestivo delle vulnerabilità è essenziale. Le aziende dovrebbero adottare sistemi automatizzati e ridondanti per garantire che le patch vengano installate appena disponibili.
  • Monitorare le vulnerabilità note: è fondamentale tenere sotto controllo le segnalazioni del CSIRT e dei fornitori di software, come Microsoft, per garantire la sicurezza delle piattaforme utilizzate.
  • Assicurare una notifica dettagliata in caso di data breach: in caso di attacco, è importante comunicare tempestivamente e in maniera completa con le autorità, per dimostrare la propria collaborazione e limitare le sanzioni.

Chi è responsabile della gestione della sicurezza in azienda?

La responsabilità della sicurezza dei dati aziendali ricade su tutte le figure professionali, ma in particolare su CIO, IT manager e responsabili della compliance. Il caso Postel mostra come la mancanza di un processo di patching efficace possa portare a conseguenze economiche e legali rilevanti.

Inoltre, per molte aziende, potrebbe essere opportuno investire in una consulenza esterna di cybersecurity, che aiuti a valutare la resilienza dei sistemi informatici e a implementare soluzioni di sicurezza all’avanguardia.

Patch management nella sicurezza informatica aziendale

Incontro tra professionisti aziendali per pianificare strategie di sicurezza e aggiornamento dei sistemi

Come evitare sanzioni e ridurre i rischi?

Per evitare rischi legali e preservare la fiducia dei clienti, le aziende devono:

  • Mantenere aggiornati i sistemi: l’aggiornamento delle patch è una pratica semplice che riduce in maniera significativa la probabilità di attacchi.
  • Integrare il principio di privacy by design: adottare misure di sicurezza fin dall’inizio per garantire la protezione dei dati.
  • Valutare il rischio e la resilienza: eseguire regolarmente controlli sui sistemi per verificare l’efficacia delle misure di sicurezza e identificare eventuali vulnerabilità.

Conclusione

Il caso Postel serve come monito per le aziende che gestiscono dati personali, mostrando quanto sia vitale una gestione attenta e proattiva delle vulnerabilità e degli aggiornamenti di sicurezza. In un contesto in cui le minacce informatiche sono in costante aumento, garantire la sicurezza dei dati non è solo una questione di conformità, ma un valore fondamentale per la protezione della fiducia dei clienti.

Fonti e/o link utili di approfondimento:1

Post appena pubblicati

Gestione Presenze: semplifica il lavoro!

Rischi nascosti nei convertitori online: cosa sapere

Hacker russi sfruttano bug 0-day di 7-Zip per diffondere malware

Truffe MMS: come i truffatori rubano denaro alle aziende

Perché le aziende italiane ignorano la cyber security e cosa rischiano?

I 10 codici PIN più usati e pericolosi: quale evitare subito?

Il falso mito della sicurezza di macOS: perché anche il Mac è a rischio

Malware nordcoreani vs cinesi: quale minaccia è più pericolosa?

Seguici e Rimani informato

Iscriviti alla newsletter e sarai tra i primi ad essere informato su nuovi contenuti

Clicca Qui