La casa automobilistica giapponese Toyota ha subito una violazione dei record dei clienti dopo che un hacker ha ottenuto le credenziali per uno dei suoi server dal codice sorgente pubblicato su GitHub da un subappaltatore dello sviluppo di siti web. La terza parte “ha erroneamente caricato parte del codice sorgente sul proprio account GitHub mentre era impostato per essere pubblico”, ha affermato la società.
Di conseguenza, la società ha affermato che gli indirizzi e-mail e i numeri di gestione dei clienti di ben 296.019 clienti sono trapelati. Tuttavia, Toyota, una delle due maggiori case automobilistiche mondiali per fatturato, sembra aver colto un colpo di fortuna, considerando che la chiave di accesso nel codice sorgente su GitHub è stata esposta per cinque anni, tra dicembre 2017 e il 15 settembre 2022.
“È istruttivo quanto danno potenziale possa derivare da un semplice errore e che l’errore possa richiedere anni per essere identificato”, ha detto a Spiceworks Chris Clements, vicepresidente dell’architettura delle soluzioni presso Cerberus Sentinel. “Questa non è la prima volta che un’organizzazione ha avuto informazioni private potenzialmente esposte dal caricamento di chiavi o password segrete in repository di codici pubblici o bucket di archiviazione cloud esposti”.
Toyota ha affermato che un subappaltatore dello sviluppo di siti Web “ha erroneamente caricato parte del codice sorgente sul proprio account GitHub mentre era impostato per essere pubblico” nel dicembre 2017. Ciò ha portato l’hacker sconosciuto direttamente al server contenente i dati dei clienti associati al sistema di infotainment dell’azienda T – Collegare.
“Questo è uno scenario di furto di password molto comune. È stato stimato che centinaia di migliaia di password esposte siano presenti su GitHub in attesa che chiunque possa accedere al codice sorgente lo riveli “, ha detto a Spiceworks Roger Grimes, evangelista della difesa di KnowBe4. “Progetti di esempio hanno rivelato che le password che si trovano nel codice caricato su GitHub sono state accedute e utilizzate contro la vittima in meno di 30 minuti. È un grosso problema”.
Il lato positivo della fuga di notizie è che i nomi dei clienti, i numeri di telefono, le carte di credito, ecc. rimangono inalterati. Senza ulteriori informazioni personali sull’utente, gli attori delle minacce non possono adattare i propri sforzi di ingegneria sociale durante l’esecuzione di attacchi di phishing, rendendoli un po’ meno gravi.
Tuttavia, gli ID e-mail tendono a essere costituiti da nomi e, con i numeri di gestione dei clienti associati, il phishing, anche se indebolito, è sicuramente un problema.
Vedi altro: Codice sorgente del BIOS della CPU Intel Alder Lake, strumenti e file trapelati su GitHub e 4chan
I clienti i cui dati sono trapelati dovrebbero ricevere un’e-mail di scuse da Toyota. L’azienda ha anche creato una pagina per consentire ai clienti di verificare se i loro indirizzi e-mail sono trapelati e ha istituito un call center per rispondere a qualsiasi domanda.
“Esso [the leak] sottolinea quanto sia difficile la sfida rappresentata dalla proliferazione dei dati. Ogni copia dei dati dai dipendenti ai subappaltatori presenta un’ulteriore strada per la divulgazione involontaria. Non importa se la tua posizione di archiviazione principale è fortemente protetta e monitorata se un utente può semplicemente copiare quei dati su un servizio cloud al di fuori del tuo controllo”, ha aggiunto Clements.
Grimes ha affermato che gli sviluppatori devono essere più attenti nell’affrontare le complessità del cloud. Dopotutto, l’elemento umano ha dimostrato di essere un anello debole nella sicurezza informatica delle organizzazioni. Le attività incentrate sull’uomo sono le preferite dagli aggressori perché rafforzano i loro sforzi di ingegneria sociale o, nel caso di Toyota, li conducono direttamente nel server.
Nelle sue indagini sulle violazioni dei dati del 2022 Rapporto, Verizon ha osservato che l’82% delle violazioni dei dati è causato da un elemento umano. “Gli sviluppatori devono sapere che non è consentito inserire password attive, di produzione, nel codice sorgente. Dobbiamo far capire agli sviluppatori che inserire le password nel codice sorgente, anche a scopo di test, è come correre con le forbici… non può derivarne nulla di buono”, ha aggiunto Grimes.
Toyota ha affermato di non aver notato alcun uso non autorizzato dei dati, ma ha avvertito i clienti di rimanere vigili contro lo spoofing o le truffe di phishing. Per mitigare le conseguenze della violazione, la società ha rimosso l’accesso di terze parti al server, modificato le chiavi di accesso e modificato il repository GitHub in privato.
Clements e Grimes hanno suggerito un approccio basato sulle politiche per ridurre al minimo errori simili. Clements ha affermato: “Come la maggior parte delle cose nella sicurezza informatica, non ci sono risposte facili perché non è un problema facile. Considerando questa verità, è imperativo che le organizzazioni adottino un approccio culturale alla sicurezza informatica che sia parte integrante di ogni processo aziendale. Non è ancora un lavoro facile, ma è molto più gestibile quando ogni persona comprende la necessità di operazioni sicure e quali sono le proprie responsabilità”.
Grimes ha aggiunto: “La soluzione è la combinazione di difesa in profondità di politiche, strumenti tecnici e formazione per evitare che password errate vengano lasciate nel codice sorgente”.
Jordan Schroeder, responsabile del CISO di Barrier Networks, ha illustrato alcuni passaggi concreti relativi all’uso delle chiavi di accesso per evitare una situazione simile.
“L’affrontare queste debolezze richiede l’implementazione della gestione dei segreti in modo che le chiavi di accesso vengano estratte dai server dei segreti protetti e non codificate nel software, bloccando l’ambiente di sviluppo per impedire l’accesso pubblico e impostando la sicurezza del repository di codice automatizzato e le revisioni dell’accesso, che include cercando su Internet frammenti di codice che indicherebbero una perdita di codice sorgente”, ha detto Schroeder a Spiceworks.
Fateci sapere se vi è piaciuto leggere questa notizia su LinkedIn, Twittero Facebook. Ci piacerebbe avere tue notizie!
Fonte immagine: Shutterstock
ALTRO SULLE VIOLAZIONI DEI DATI
.