Torna al Blog

( ✦ )Articolo

Bucati tramite un'app collegata

5 MIN DI LETTURA

Questa settimana è uscita una notizia che ha un dettaglio quasi comico, se non fosse serio: una dietro l'altra, aziende che vendono sicurezza informatica hanno dovuto ammettere di aver subìto un furto di dati. Tra i nomi confermati ci sono HackerOne, Snyk, Huntress, LastPass, BeyondTrust, Tanium e altri. Il punto interessante è che nessuna di loro è stata bucata davvero. A essere violato è stato un fornitore che usavano tutte: una piattaforma chiamata Klue.

È la storia perfetta per capire un rischio che riguarda anche chi gestisce un'attività piccola: oggi non basta più tenere in ordine casa tua. Conta anche chi tieni collegato a casa tua.

Cosa è successo, in pratica

Klue è uno strumento di market intelligence: aiuta gli uffici commerciali a tenere d'occhio i concorrenti. Per funzionare si collega al CRM dei clienti, cioè al programma dove un'azienda tiene contatti, trattative e listini. Nel caso specifico, Klue era collegato a Salesforce, uno dei CRM più diffusi al mondo.

Tra l'11 e il 12 giugno qualcuno è entrato nei sistemi di Klue e, da lì, ha raggiunto i dati Salesforce dei clienti collegati. Non ha forzato la porta di ogni singola azienda: gli è bastato entrare dal fornitore comune e sfruttare i collegamenti che quel fornitore aveva già con tutti. Salesforce ha poi disattivato l'integrazione di Klue per fermare l'emorragia, e un gruppo criminale che si fa chiamare Icarus ha rivendicato il colpo, minacciando di pubblicare i dati se non viene pagato un riscatto.

Il dettaglio che fa arrabbiare

Come è entrato l'attaccante? Non con un virus sofisticato. È entrato usando una credenziale vecchia e dimenticata. Klue, tempo prima, aveva creato una chiave di accesso per provare un'integrazione. Quel test è stato poi abbandonato, ma la chiave non è mai stata spenta. È rimasta lì, valida, per mesi. L'attaccante l'ha trovata e l'ha usata.

Da quel punto di appoggio ha fatto la cosa più dolorosa: ha modificato un pezzo del sistema di Klue per raccogliere i token di accesso dei clienti. Un token, in parole semplici, è il braccialetto che ti fanno all'ingresso di un evento: una volta che ce l'hai, non ti chiedono più la password a ogni porta. Rubando i braccialetti, l'attaccante ha potuto entrare nei vari Salesforce come se fosse un'integrazione autorizzata. Nessun allarme, perché agli occhi del sistema era tutto in regola.

Cosa è stato rubato

Per fortuna non parliamo di password dei clienti finali o di segreti tecnici. I dati portati via sono quelli tipici di un CRM commerciale: nomi e contatti, indirizzi email e telefoni, ruoli aziendali, indirizzi, preventivi e prezzi concordati, note sulle trattative, dettagli degli abbonamenti. Le aziende colpite hanno tenuto a precisare che nessun dato di sicurezza sensibile è finito nel mucchio.

Sembra poco, ma non lo è. Un elenco di clienti con i prezzi che pagano e lo stato delle trattative è oro per chi vuole costruire una truffa mirata. È la base per una telefonata o una mail che cita il tuo fornitore reale, la cifra giusta, il referente giusto. Più i dettagli sono veri, più è facile cadere.

Perché riguarda anche te, anche se non usi Klue

Qui sta la lezione. La maggior parte delle attività oggi non usa un solo programma: ne collega tanti. Il gestionale parla con il programma delle email, che parla con il CRM, che parla con lo strumento delle fatture, che parla con l'app dei preventivi. Ogni volta che clicchi "Collega" o "Accedi con Google" tra due servizi, stai consegnando un braccialetto a qualcun altro.

Il problema è che quei braccialetti non scadono da soli. Li distribuisci e te ne dimentichi. L'app che hai provato due anni fa e non apri più, probabilmente, ha ancora accesso ai tuoi dati. E se quel fornitore viene bucato, la porta che apre è la tua. Tu non ti sei accorto di nulla, ma il danno passa lo stesso da casa tua.

Cosa puoi fare, in concreto

Non serve essere tecnici. Bastano poche abitudini, da mettere in pratica nella prossima mezz'ora libera.

1. Fai l'inventario dei collegamenti. Entra negli account che contano (Google, Microsoft 365, il tuo CRM o gestionale) e cerca la voce "App connesse", "Autorizzazioni" o "App di terze parti". Vedrai un elenco, spesso più lungo del previsto, di servizi che hanno accesso ai tuoi dati.

2. Stacca quello che non riconosci o non usi più. Se non sai cos'è, o se è un'app che hai provato e abbandonato, revoca l'accesso. Si ricollega in trenta secondi se ti serve davvero. Una porta in meno è una porta in meno.

3. Chiedi ai tuoi fornitori cosa vedono. Quando colleghi un nuovo strumento, chiediti: a quali dati accede? Gli serve davvero leggere tutto, o solo una parte? Molti servizi chiedono più permessi di quelli che usano.

4. Tratta i preventivi e i listini come dati sensibili. Non sono solo numeri interni. In mano sbagliata diventano l'esca per truffare i tuoi clienti. Sapere che possono uscire ti aiuta a riconoscere una mail sospetta che li cita.

Il punto da portare a casa

La storia di Klue non è la storia di un'azienda distratta. È la fotografia di come funziona oggi il lavoro: tutto collegato a tutto, per comodità. La comodità ha un prezzo, e il prezzo è che la tua sicurezza non dipende più solo da te, ma anche dall'anello più debole tra i fornitori a cui hai dato un braccialetto. Spegnere i braccialetti che non usi più è il gesto più semplice e più sottovalutato che puoi fare per la tua attività.

( R )Registro dei lettori

05 NOTE
  1. Davide Ferraro

    La parte sull'inventario dei collegamenti l'ho fatta stamattina prima del caffè. Avevo undici app collegate al Google aziendale, di cui almeno cinque non le aprivo da più di un anno. Staccate. La cosa che mi ha colpito è quanto fosse nascosta quella schermata: nessuno ti dice mai di andarci.

  2. Chiara Lombardi

    Il paragone del braccialetto è perfetto, lo userò con il mio team che di token e OAuth non vuole sentir parlare. Spiegare la sicurezza con le parole giuste è metà del lavoro. Grazie per non aver buttato lì il solito allarmismo.

  3. Marco Bianchi

    Quello che mi ha gelato è la credenziale di test mai disattivata. È esattamente il tipo di cosa che lasci in sospeso pensando 'poi la sistemo'. Mi sa che il 'poi' non arriva mai. Da domani metto in calendario una revisione trimestrale degli accessi.

  4. Federica Conti

    Il punto sui listini come dato sensibile non l'avevo mai considerato così. Noi i preventivi li trattiamo come roba interna banale, ma se finiscono in mano a qualcuno che chiama il cliente citando la cifra esatta, siamo rovinati come immagine. Articolo che fa riflettere davvero.

  5. Stefano Riva

    Bello vedere spiegato che anche le aziende di sicurezza si fanno bucare di rimbalzo. Aiuta a togliere quel senso di colpa per cui se ti succede qualcosa è perché sei stato stupido. A volte il buco è a tre porte di distanza dalla tua. Resta il fatto che spegnere gli accessi inutili dipende da noi.

Lascia una nota — nome e pensiero, nient'altro.

Il nome viene pubblicato accanto al commento. Nessun altro dato viene raccolto.