Questa storia ha inizio da una falla di sicurezza. Quella di Fazio Mechanical Services, fornitrice di servizi HVAC per Target Corporation.
Una disattenzione scovata dagli hacker è usata come punto di ingresso per entrare di soppiatto nel sistema di pagamento dell’azienda di retail del Minnesota. Tutto avviene nel giro di pochissimo tempo, dal 27 novembre al 15 dicembre del 2013 in concomitanza del Thanksgiving [scelta non a caso].
Ma cos’è avvenuto nello specifico? Gli hacker hanno rubato i dati dei clienti di Target sfruttando la rete non segmentata di Fazio Mechanical Services. Hanno individuato un punto vulnerabile nei loro sistemi informatici poiché avevano all’attivo misure di sicurezza piuttosto blande. Dopodiché, gli hacker hanno iniziato a inviare e-mail di phishing e infettato i sistemi dell’azienda fornitrice con un malware chiamato Citadel. Software malevolo che ha permesso agli aggressori di ottenere le credenziali di accesso al portale per i fornitori ospitato da Target.
Un altro elemento a favore degli hacker è la mancanza di controlli sul caricamento dei file eseguibili nel portale, dove è stata caricata una “web shell” camuffata da file legittimo, che includeva uno script per eseguire comandi del sistema operativo. Una volta caricato, lo script consentiva agli aggressori di accedere in remoto ai server di Target.
Nel giro di tre settimane, gli hacker rubano i dati delle carte di credito dei clienti. Il malware installato è un software potente, capace di compromettere 40 milioni di account di carte di credito e debito, nonché i dati personali di circa 70 milioni di persone.
Il reparto IT di Target Corporation si accorge del problema: prova a trovare una soluzione, ma senza successo. La società deve passare per le vie legali, quindi riconosce l’attacco pubblicamente e decide di collaborare con le autorità investigative. L’azienda ha anche implementato misure di sicurezza aggiuntive e ha offerto monitoraggio gratuito per le vittime dell’attacco.
L’attacco informatico a Target Corporation ha avuto conseguenze significative:
- Perdita di dati sensibili
Gli hacker hanno rubato i dati di pagamento di oltre 40 milioni di clienti. Un dato che porta Target Corporation sul podio dei più grandi furti avvenuti nella storia degli Stati Uniti. - Perdita finanziaria
Target Corporation subisce una perdita finanziaria considerevole a causa dei costi di ripristino, delle azioni legali e della perdita di clienti. - Reputazione danneggiata
La reputazione di Target Corporation è stata danneggiata. La notizia dell’attacco ha fatto titoli sui media nazionali e ha minato la fiducia dei clienti nell’azienda. - Azioni legali
Target è stato oggetto di numerose azioni legali da parte di clienti e investitori, che hanno richiesto il risarcimento danni.
In passato, ti abbiamo parlato di quanto sia rilevante il danno economico per un’azienda che subisce un attacco informatico. La storia di Target Corporation insegna a comprendere che può essere danneggiato anche altro, ovvero l’immagine aziendale. Sia quella del cliente, sia quella del fornitore. Se non si lavora alla difesa dei propri “confini aziendali”, aumentano di gran lunga le probabilità di “invasione”. Quindi, sii previdente e fatti supportare da Cybe per la progettazione della difesa informatica aziendale