Matteo Brandi : 5 Settembre 2024 08:20
Questa è la storia di Max, il fondatore di un e-commerce specializzato in dispositivi tecnologici: una storia di pura invenzione (perdonerete la mia vena di scrittore) per introduttore un altro dei OWASP TOP 10 (qui il sito ufficiale ): “Identification and Authentication Failures” cioè i fallimenti di identificazione ed autenticazione.
Questa storia ci insegnerà alcuni accorgimenti per aiutare a prevenire i fallimenti di identificazione ed autenticazione in un e-commerce.
Da quando Max ha creato il suo e-commerce, questo non ha fatto che crescere con il fatturato. La vasta gamma di prodotti unita alla puntuale assistenza, ha fatto dell’e-commerce di Max un punto di riferimento per gli appassionati. Ma questa non è una storia di successo. É una storia di perdite finanziarie, multe e di perdita di fiducia dei clienti. Questo è il palcoscenico di un incidente informatico.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Le cose, in genere, iniziano da qualcosa di molto piccolo, quasi insignificante. Max prestava attenzione alla sicurezza informatica, pensava di farlo al meglio. Oltre all’e-commerce utilizzava molti altri servizi online. La password che usava era complessa e faceva sempre il logout dalle applicazioni. Era convinto che bastasse.
Visto che la password era complessa e pensava che non fosse una buona pratica segnarla in foglietti in bella vista, usava sempre la stessa in modo tale da ricordarla, dovendola inserire più volte al giorno quindi…servizi diversi, stesse credenziali.
Inoltre per l’account di amministratore del suo e-commerce, non era presente la MFA (Multi Factor Authentication), ritenuta una noia. La password era complessa e tanto bastava. Non era presente neanche un time-out per login errati. Aveva paura di essere chiuso fuori.
Quella mattina, quando si collegò all’e-commerce tutto era sparito ma nel back-end trovò un file con la richiesta di riscatto di 3 bitcoin per avere indietro i dati e perché questi non fossero venduti nel Dark Web. Max si sentì scosso fino alle fondamenta. I backup più recenti erano online ed anche quelli erano stati rimossi. Ma quello che più lo sconvolgeva era la possibilità che i dati dei clienti fossero venduti dai trafficanti. Chiamò immediatamente il team di sviluppo che si mise al lavoro. Furono giorni frenetici.
Alla fine capirono il problema: le credenziali di Max, che erano sempre uguali in tutti i servizi online, erano state trafugate da uno di questi e finite in un grande database molto diffuso negli ambienti.
I criminali, provando tutto il database, avevano trovato la combinazione giusta. Non essendoci poi time-out o ban per tentativi errati o MFA, l’accesso era stato veloce.
Max ha subito delle perdite che ancora non ha del tutto recuperato: i giorni di fermo, la multa, la fiducia dei clienti, ma è determinato a ricostruirla diventando più forte di prima. Adesso utilizza credenziali diverse per diversi servizi online e per il suo e-commerce ha attivato sia il time-out dopo alcuni tentativi errati che il ban dell’IP (dopo molti tentativi) oltre che il Multi Factor Authentication.
“Oggi segna il ritorno della fiducia. La lezione più grande che abbiamo imparato è che la sicurezza informatica non è mai una destinazione finale, ma un viaggio di continuo miglioramento. Spero che la mia storia possa servire ad altri imprenditori: investire nella sicurezza informatica non è più una scelta ma un imperativo assoluto.”
A Max gli auguri di una pronta ripresa.
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006