Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Ott 04, 2017 Marco Schiaffino Attacchi, Gestione dati, Hacking, Intrusione, News, RSS, Vulnerabilità 0
A circa un mese dalla notizia della violazione dei sistemi di Equifax (l’ente che raccoglie i dati sulla “reputazione” creditoria di milioni idi consumatori anglosassoni) cominciano a emergere i primi dettagli sulle responsabilità legate ai mancati aggiornamenti che hanno permesso l’intrusione.
Nel caso specifico, come abbiamo spiegato in un articolo precedente, la patch riguardava una falla in Apache Struts, resa pubblica (in contemporanea all’aggiornamento) lo scorso marzo. L’aggiornamento, però, non è stato installato.
E da quello che si legge, la giustificazione di Equifax è la classica toppa peggiore del buco. Stando a quanto riporta Simon Sharwood di The Register, che ha avuto la pazienza di seguire il video di tre ore dell’audizione di fronte a una commissione per la difesa dei consumatori, i vertici dell’agenzia imputerebbero il tutto a un “errore umano”.
In sintesi, l’amministratore delegato di Equifax Rick Smith avrebbe infatti sostenuto davanti alla commissione (intorno al minuto 1:05:00 del video) che la patch per correggere la vulnerabilità che ha causato il fattaccio non sarebbe stata applicata perché “l’impiegato che aveva il compito di comunicare la necessità di eseguire gli aggiornamenti non lo ha fatto”.
Tradotto in pratica, questo significa che un colosso come Equifax, a cui sono affidati dati sensibili riguardanti milioni di cittadini negli Stati Uniti, UK e Australia avrebbe una procedura di patching degna di una media impresa brianzola.
Niente software di patch management, sistemi di virtual patching o pianificazioni controllate, ma un singolo dipendente che invia email ai tecnici per sollecitare l’applicazione delle patch. E se sbaglia, i dati di 143 milioni di consumatori finiscono nelle mani dei pirati. Chi se lo poteva aspettare?
Giu 17, 2024 0
Ago 01, 2023 0
Gen 16, 2023 0
Gen 12, 2023 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...