La Storia di Max: Fallimenti di Identificazione e Autenticazione in un E-commerce

Questa è la storia di Max, il fondatore di un e-commerce specializzato in dispositivi tecnologici: una storia di pura invenzione (perdonerete la mia vena di scrittore) per introduttore un altro dei OWASP TOP 10 (qui il sito ufficiale ): “Identification and Authentication Failures” cioè i fallimenti di identificazione ed autenticazione.

Questa storia ci insegnerà alcuni accorgimenti per aiutare a prevenire i fallimenti di identificazione ed autenticazione in un e-commerce.

Da quando Max ha creato il suo e-commerce, questo non ha fatto che crescere con il fatturato. La vasta gamma di prodotti unita alla puntuale assistenza, ha fatto dell’e-commerce di Max un punto di riferimento per gli appassionati. Ma questa non è una storia di successo. É una storia di perdite finanziarie, multe e di perdita di  fiducia dei clienti. Questo è il palcoscenico di un incidente informatico.

L’ombra dell’incubo dei Fallimenti di Identificazione ed Autenticazione

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Le cose, in genere, iniziano da qualcosa di molto piccolo, quasi insignificante. Max prestava attenzione alla sicurezza informatica, pensava di farlo al meglio. Oltre all’e-commerce utilizzava molti altri servizi online. La password che usava era complessa e faceva sempre il logout dalle applicazioni. Era convinto che bastasse.

Visto che la password era complessa e pensava che non fosse una buona pratica segnarla in foglietti in bella vista, usava sempre la stessa in modo tale da ricordarla, dovendola inserire più volte al giorno quindi…servizi diversi, stesse credenziali.

Inoltre per l’account di amministratore del suo e-commerce, non era presente la MFA (Multi Factor Authentication), ritenuta una noia. La password era complessa e tanto bastava. Non era presente neanche un time-out per login errati. Aveva paura di essere chiuso fuori.

Immersione nel Caos

Quella mattina, quando si collegò all’e-commerce tutto era sparito ma nel back-end trovò un file con la richiesta di riscatto di 3 bitcoin per avere indietro i dati e perché questi non fossero venduti nel Dark Web. Max si sentì scosso fino alle fondamenta. I backup più recenti erano online ed anche quelli erano stati rimossi. Ma quello che più lo sconvolgeva era la possibilità che i dati dei clienti fossero venduti dai trafficanti. Chiamò immediatamente il team di sviluppo che si mise al lavoro. Furono giorni frenetici.

Alla fine capirono il problema: le credenziali di Max, che erano sempre uguali in tutti i servizi online, erano state trafugate da uno di questi e finite in un grande database molto diffuso negli ambienti.

I criminali, provando tutto il database, avevano trovato la combinazione giusta. Non essendoci poi time-out o ban per tentativi errati o MFA, l’accesso era stato veloce.

Verso una nuova Alba

Max ha subito delle perdite che ancora non ha del tutto recuperato: i giorni di fermo, la multa, la fiducia dei clienti, ma è determinato a ricostruirla diventando più forte di prima. Adesso utilizza credenziali diverse per diversi servizi online e per il suo e-commerce ha attivato sia il time-out dopo alcuni tentativi errati  che il ban dell’IP (dopo molti tentativi) oltre che il Multi Factor Authentication.

“Oggi segna il ritorno della fiducia. La lezione più grande che abbiamo imparato è che la sicurezza informatica non è mai una destinazione finale, ma un viaggio di continuo miglioramento. Spero che la mia storia possa servire ad altri imprenditori: investire nella sicurezza informatica non è più una scelta ma un imperativo assoluto.”

A Max gli auguri di una pronta ripresa.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Matteo Brandi

Imprenditore Digitale, Cyber Security Enthusiast. Certificato TCM Security Pratical Network Penetration Tester e CompTIA Security+. Con la sua attività aiuta Aziende e PMI del nostro paese a difendersi dalle minacce informatiche. Membro del Gruppo Hackerhood di Red Hot Cyber.