Quanto conta il fattore umano nella security?

Gli esperti non si stancano mai di ripeterlo: antivirus e strumenti di protezione sono indispensabili per proteggere l’integrità dei dati e dei servizi aziendali, ma un elemento fondamentale per mettere in sicurezza gli asset aziendali è rappresentato dalla preparazione di chi utilizza gli strumenti digitali all’interno dell’azienda stessa.

Il caso dell’attacco a Twitter, che ha comportato la compromissione di 45 account di celebrità, è un esempio cristallino di come il “fattore umano” possa rappresentare il punto debole che provoca il crollo della catena della cyber security. L’attacco ha fatto scalpore non solo per la copertura dei media, ma per il fatto che è stato messo a segno da una banda di ragazzini (il più giovane di 17 anni) che in nessun modo possono essere considerati dei professionisti.

In seguito al loro arresto, infatti, si è scoperto che i tre adolescenti, due statunitensi e un britannico, hanno agito in maniera assolutamente sconsiderata, mettendo in piedi una truffa che, almeno potenzialmente, gli avrebbe fruttato quasi 120.000 dollari (ma avrebbero potuto essere di più) che gli esperti chiamano “give away”. I tre aspiranti cyber criminali, in pratica, hanno usato gli account Twitter che hanno violato per diffondere un messaggio semplice ma (incredibilmente) efficace, facendo credere che i VIP in questione avessero intenzione di regalare parte dei loro soldi. Il meccanismo, davvero fantasioso, sarebbe stato quello di chiedere agli utenti Twitter un versamento in Bitcoin che sarebbe stato restituito con una somma doppia rispetto a quanto versato.

Naturalmente non sarebbe avvenuta nessuna restituzione e i tre ragazzi avevano semplicemente intenzione di far sparire la criptovaluta versata sui loro conti. Nella loro azione, però, hanno commesso una serie di leggerezze, utilizzando conti registrati con il loro vero nome e collegandosi dal router di casa per eseguire le transazioni. L’FBI non ha impiegato molto a rintracciarli e arrestarli.

L’elemento più interessante, però, è il modo in cui i tre erano riusciti a violare gli account di amministrazione di Twitter, nonostante questi fossero protetti da un sistema di autenticazione a due fattori. È bastata infatti una telefonata a un (ingenuo) impiegato del social network per convincerlo a fornire il codice che ha permesso loro di accedere al backend di Twitter e fare i loro comodi senza essere individuati. Insomma: se c’è qualcosa che possiamo imparare da tutta la vicenda, è che anche il migliore dei sistemi di sicurezza può essere compromesso da un banale, quanto classico, “errore umano”.

Condividi:
Torna indietro

Iscriviti alle newsletter di AttivaEvolution