Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
Feb 10, 2023 Dario Orlandi Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0
Sansec ha pubblicato una nuova analisi in cui ha mostrato come un negozio online su nove esponga involontariamente backup privati: un errore che potrebbe avere conseguenze molto gravi, perché i backup contengono password e altre informazioni sensibili.
Proprio attraverso questi file, i criminali informatici sono già riusciti in varie occasioni a prendere il controllo dei siti, intercettare i pagamenti o semplicemente estorcere denaro ai proprietari.
Sansec ha preso in esame oltre 2000 negozi online di varie dimensioni, e in 250 casi i ricercatori hanno trovato archivi (come file Zip, Sql e Tar) nella cartella Web pubblica senza restrizioni di accesso. Questi backup contengono password di database, Url privati per l’accesso a pagine di amministrazione, chiavi API e dati completi dei clienti.
La scoperta di backup pubblici non protetti può essere molto semplice per un utente malintenzionato abbastanza competente, che può impostate attacchi automatizzati per testare migliaia di possibili denominazioni e percorsi per i backup.
Sansec ha trovato centinaia di siti che espongono file di backup (Fonte: Sansec)
Questi attacchi possono continuare indefinitamente fino a quando non viene trovato un risultato valido; se un utente malintenzionato riuscisse a scaricare un backup privato, potrebbe essere in grado di ottenere informazioni molto preziose sensibili, come password di database, Url di amministratore segreto e dati dei clienti.
La ricerca di Sansec ha rilevato diversi pattern di attacco già in azione, provenienti da molti Ip di origine; questo suggerisce che vulnerabilità di questo genere siano ben note alla criminalità informatica e qualcuno le stia già sfruttando.
Proprio per questo è fondamentale che le organizzazioni adottino misure per proteggere i propri backup e prevenire eventuali perdite di dati o accessi non autorizzati.
È quindi essenziale verificare se le impostazioni del proprio store prevedono che i backup siano salvati all’interno di cartelle accessibili via Web. Per tutti i file eventualmente trovati, bisogna poi verificare se i permessi assegnati loro li rendono effettivamente scaricabili tramite una richiesta via browser.
Un attacco brute force cerca di individuare backup accessibili da remoto (Fonte: Sansec)
Se i backup sono esposti da tempo, bisogna inoltre analizzare la configurazione del sito alla ricerca di eventuali segni di compromissione: Sansec suggerisce di controllare i file di registro del server Web per verificare se il backup è stato scaricato, controllare se sono stati aggiunti eventuali account amministratore.
Bisogna poi modificare tutte le password, in particolare quelle degli account amministratore, gli accessi Ssh/Ftp e le password del database, e attivare se disponibile l’autenticazione a due fattori per tutti gli utenti.
È anche importante verificare che il sito non esponga nessun pannello di amministrazione remoto, come phpMyAdmin o Adminer. Sansec suggerisce anche di utilizzare il suo scanner di sicurezza backend eComscan, sviluppato proprio per accelerare questo tipo di indagini.
Per evitare problemi analoghi in futuro, Sansec suggerisce l’utilizzo di un file system in sola lettura che non consenta la creazione di file ad hoc; questa tecnologia è presente nella piattaforma Adobe Commerce, ma se si usa un altro provider potrebbe invece non essere disponibile.
È comunque consigliabile utilizzare altre soluzioni di backup, che non prevedano la creazione di file accessibile da remoto; inoltre, si può configurare il server Web per limitare l’accesso ad alcune tipologie di file, come per esempio Zip, Gz, Tgz, Tar E Sql.
Restrizioni di accesso possono essere aggiunte al file htaccess (per il server Apache) o alla configurazione principale di Nginx.
Set 18, 2025 0
Set 08, 2025 0
Set 03, 2025 0
Ago 11, 2025 0
Set 17, 2025 0
Set 16, 2025 0
Set 15, 2025 0
Set 15, 2025 0
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 18, 2025 0
A un anno dall’annuncio della partnership, Cohesity e...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...