TECH
Gli esperti in sicurezza: serve 'tolleranza zero' all'interno
eBay corre ai ripari dopo l'attacco al database
Dopo il furto di dati dal database di eBay, gli esperti sulla sicurezza puntano il dito contro le misure non adeguate a proteggere le informazioni private dei clienti. Serve 'fiducia zero', afferma Wieland Alge, manager di Barracuda Networks. Mentre le associazioni dei consumatori chiedono l'aiuto del Governo: non basta solo cambiare password
La piattaforma di commercio online più famosa al mondo, eBay, ha pregato vivamente i 145 milioni di utenti di modificare le password dopo un cyber attacco che ha compromesso i dati dei clienti .
L' azienda ha reso noto il 21 maggio che hacker hanno rubato ‘informazioni non finanziarie’ come indirizzi email, password criptate, date di nascita. L’attacco sarebbe avvenuto tra la fine febbraio e inizio marzo. Un portavoce di eBay ha detto che ‘un gran numero di account’ è stato compromesso, ma si è rifiutato di fornire numeri.
Più efficacia e aiuto del Governo
Julia Horwitz, consulente di prodotti elettronici all’associazione per la tutela dei consumatori Privacy Information Center, di Washington, è rassegnata: "Purtroppo non sono così sorpresa di apprendere che c’è stata un’altra violazione dei dati. Nell'ultimo anno, abbiamo sentito parlare di molte aziende che hanno avuto il proprio database violato" ed ha aggiunto che eBay ha bisogno di adottare metodi più efficaci per proteggere i propri dati e quelli dei clienti.
“Cambiare la password un paio di volte può aiutare, ma dopo un po' le persone si trovano corto di idee e usano variazioni sul nome dell’animale domestico, quindi le imprese e il Governo dovrebbero assicurarsi che tutti abbiano protezioni appropriate".
Da quanto emerge, eBay è stata in grado di restringere l’attacco ad un numero limitato di credenziali di accesso dei dipendenti rubate dai criminali informatici. Questi dettagli hanno fornito agli hacker l’accesso ai dati personali degli utilizzatori di eBay e l’azienda ha dato il via a indagini per determinare quale database sia stato compromesso e rubato.
Sulla sicurezza, fiducia zero
Commentando l’attacco ai dati degli utenti di eBay, Wieland Alge, pioniere della sicurezza e General manager EMEA di Barracuda Networks ha detto: “Non ha alcun senso investire eccessivamente nello stato dell’arte delle difese perimetrali se un’azienda non può mitigare il rischio legato ai suoi stessi dipendenti, che non devono essere nella condizione di lasciare le porte spalancate ai criminali informatici. Oggi più che mai, operiamo in un contesto di ‘fiducia zero’ “.
“Chi è responsabile della sicurezza IT non deve fidarsi di niente e nessuno. Neppure i frigoriferi sono al riparo dagli attacchi informatici. La sfiducia collettiva non è più un segno di paranoia, ma è diventato un principio guida dell’ IT. Ogni applicazione e ogni parte di un hardware può essere oggi violata perciò la sicurezza IT deve diffidare di tutto e tutti. Questo vale per gli utenti, i governi e soprattutto i dipendenti. Hanno la chiave di molte informazioni e la posta in gioco è estremamente alta”.
“La cornice di questo contesto di fiducia zero è chiara: le infrastrutture critiche devono essere protette da altri utenti e componenti IT attraverso ulteriori cancelli di sicurezza intelligenti. Ogni query dev'essere controllata, ogni atto sospetto impedito e indagato immediatamente. Non ci sono scuse per la noncuranza e i ritardi".
eBay ha dichiarato che le indagini sulla violazione sono in corso con l'assistenza delle forze dell'ordine e che finora non ha trovato alcuna prova che il suo servizio di pagamento online PayPal sia stato anch’esso violato.
L' azienda ha reso noto il 21 maggio che hacker hanno rubato ‘informazioni non finanziarie’ come indirizzi email, password criptate, date di nascita. L’attacco sarebbe avvenuto tra la fine febbraio e inizio marzo. Un portavoce di eBay ha detto che ‘un gran numero di account’ è stato compromesso, ma si è rifiutato di fornire numeri.
Più efficacia e aiuto del Governo
Julia Horwitz, consulente di prodotti elettronici all’associazione per la tutela dei consumatori Privacy Information Center, di Washington, è rassegnata: "Purtroppo non sono così sorpresa di apprendere che c’è stata un’altra violazione dei dati. Nell'ultimo anno, abbiamo sentito parlare di molte aziende che hanno avuto il proprio database violato" ed ha aggiunto che eBay ha bisogno di adottare metodi più efficaci per proteggere i propri dati e quelli dei clienti.
“Cambiare la password un paio di volte può aiutare, ma dopo un po' le persone si trovano corto di idee e usano variazioni sul nome dell’animale domestico, quindi le imprese e il Governo dovrebbero assicurarsi che tutti abbiano protezioni appropriate".
Da quanto emerge, eBay è stata in grado di restringere l’attacco ad un numero limitato di credenziali di accesso dei dipendenti rubate dai criminali informatici. Questi dettagli hanno fornito agli hacker l’accesso ai dati personali degli utilizzatori di eBay e l’azienda ha dato il via a indagini per determinare quale database sia stato compromesso e rubato.
Sulla sicurezza, fiducia zero
Commentando l’attacco ai dati degli utenti di eBay, Wieland Alge, pioniere della sicurezza e General manager EMEA di Barracuda Networks ha detto: “Non ha alcun senso investire eccessivamente nello stato dell’arte delle difese perimetrali se un’azienda non può mitigare il rischio legato ai suoi stessi dipendenti, che non devono essere nella condizione di lasciare le porte spalancate ai criminali informatici. Oggi più che mai, operiamo in un contesto di ‘fiducia zero’ “.
“Chi è responsabile della sicurezza IT non deve fidarsi di niente e nessuno. Neppure i frigoriferi sono al riparo dagli attacchi informatici. La sfiducia collettiva non è più un segno di paranoia, ma è diventato un principio guida dell’ IT. Ogni applicazione e ogni parte di un hardware può essere oggi violata perciò la sicurezza IT deve diffidare di tutto e tutti. Questo vale per gli utenti, i governi e soprattutto i dipendenti. Hanno la chiave di molte informazioni e la posta in gioco è estremamente alta”.
“La cornice di questo contesto di fiducia zero è chiara: le infrastrutture critiche devono essere protette da altri utenti e componenti IT attraverso ulteriori cancelli di sicurezza intelligenti. Ogni query dev'essere controllata, ogni atto sospetto impedito e indagato immediatamente. Non ci sono scuse per la noncuranza e i ritardi".
eBay ha dichiarato che le indagini sulla violazione sono in corso con l'assistenza delle forze dell'ordine e che finora non ha trovato alcuna prova che il suo servizio di pagamento online PayPal sia stato anch’esso violato.