Per il secondo anno consecutivo, SpyCloud ha reso dispoonibile un report delle esposizioni, identificando e analizzando milioni di asset oggetto di violazione legate ai dipendenti delle aziende Fortune 1000, per dimostrare l’estensione delle esposizioni di cui sono vittima le grandi imprese. A tale scopo, SpyCloud ha setacciato il proprio database composto da oltre 100 miliardi di asset violati, per trovare record contenenti domini di posta elettronica aziendali Fortune 1000, esclusi i domini “freemail”. Ad esempio, se un dipendente di Fortune 1000 ha utilizzato il proprio indirizzo e-mail aziendale, example@employer.com, per registrarsi a un sito di terze parti che è stato successivamente violato, SpyCloud ha potuto collegare le informazioni dell’account violato all’azienda.
Data l’esplosione dei servizi digitali negli ultimi anni e il passaggio globale al lavoro a distanza nel 2020, la maggior parte delle persone si sta destreggiando con più accessi online che mai. Non c’è da stupirsi che gli utenti ricorrano comunemente a password deboli e riutilizzate, facili da ricordare e altrettanto facili da sfruttare per i criminali.
Una cattiva igiene delle password mette a rischio le aziende, lasciando le risorse aziendali alla portata dei malintenzionati. Anche nelle più grandi aziende americane, una violazione dei dati che rivela la password o le informazioni personali riutilizzate di un dipendente può aiutare un criminale a eludere anche le più sofisticate misure di sicurezza, ottenendo così un accesso privilegiato alle risorse aziendali. Ogni nuova violazione fornisce ai malintenzionati più dati rubati da sfruttare.
Il volume dei dati sulle violazioni legati ai dipendenti è sbalorditivo.
Complessivamente, sono stati rilevati oltre 543 milioni di asset di violazione legati a dipendenti di Fortune 1000, un aumento del 29% rispetto al rapporto dello scorso anno. In tutti i settori, quasi 26 milioni di password in chiaro appartenenti ai dipendenti di Fortune 1000 sono disponibili per i criminali informatici, il che significa una media di 25.927 password esposte per azienda (un aumento del 12% rispetto allo scorso anno).
Dalle password alle informazioni finanziarie, ogni dato rubato può aiutare un criminale a impossessarsi degli account di un dipendente, rubare la sua identità, ricattarlo o indurlo a comportamenti pericolosi. Il problema non si ferma agli account personali dei dipendenti; le imprese rappresentano obiettivi redditizi per i criminali informatici ei dati dei dipendenti rubati possono svolgere un ruolo chiave nel consentire ai malintenzionati di aggirare le misure di sicurezza aziendali. Le aziende devono sapere quali dati di violazione possono essere legati ai propri dipendenti e agire per mitigare la minaccia rappresentata dall’acquisizione di account dei dipendenti (Account TakeOver o ATO).
Anche tra i dipendenti di Fortune 1000, il riutilizzo delle password su più account è una pratica molto diffusa.
Per ovvie ragioni, non è possibile testare le password esposte per scoprire quali sono state riutilizzate al lavoro. Tuttavia, tra tutti i dipendenti con più di una password esposta, è stato riscontrato un tasso di riutilizzo delle password del 76,7%. Se i dipendenti riutilizzano le password spesso al di fuori del lavoro, è probabile che molti abbiano riciclato anche i propri accessi aziendali.
I criminali contano sul riutilizzo della password, che consente loro di assumere il controllo degli account testando le credenziali rubate su altri portali di accesso. Ciò può assumere la forma di credential stuffing automatizzato contro un’ampia gamma di siti e vittime o attacchi mirati manuali, creativi e personalizzati per specifici individui o organizzazioni. Anche con forti misure di sicurezza in atto, le password riciclate possono fornire ai criminali informatici un modo per eludere le difese aziendali e accedere ai segreti aziendali. Per bloccare i malintenzionati, le aziende devono essere consapevoli delle nuove esposizioni alle violazioni e reimpostare le password compromesse il più rapidamente possibile dopo che si verifica una nuova violazione.
Il riutilizzo delle password non è l’unica cattiva abitudine di sicurezza rivelata dal set di dati di SpyCloud. I dipendenti di Fortune 1000 hanno anche scelto spesso password deboli per proteggere i propri account. Anche se questo potrebbe non sembrare importante nel caso di un account di terze parti, i criminali possono utilizzare un account per passare ad altri e aumentare il loro accesso. Inoltre, le cattive abitudini a casa spesso si traducono in cattive abitudini ovunque.
Ecco le password più popolari che abbiamo trovato nel nostro set di dati legato alle e-mail dei dipendenti Fortune 1000:
Le società di telecomunicazioni e tecnologia hanno le credenziali aziendali più esposte e dipendenti potenzialmente infetti.
In totale, il settore della tecnologia ha le credenziali più esposte (6,7 milioni) e di gran lunga il maggior numero di dipendenti potenzialmente infetti (13.897), ovvero dipendenti le cui credenziali sono state catturate da malware. Seguono le telecomunicazioni per numero totale (rispettivamente 6 milioni e 2.328). Calcolato in media per azienda, tuttavia, il settore delle telecomunicazioni è il peggiore in entrambe le categorie, con una media di 552.601 credenziali esposte e 212 dipendenti potenzialmente infetti per azienda, rispetto a 61.747 e 127 rispettivamente per azienda tecnologica.
Sebbene tutte le credenziali esposte possano mettere a rischio le aziende, i dipendenti che utilizzano sistemi infettati da malware sono particolarmente pericolosi. Ciò vale indipendentemente dal fatto che l’infezione si trovi sul sistema personale o aziendale del dipendente, sia per l’ampiezza dei dati raccolti sia per l’elevata probabilità di utilizzo incrociato tra i dispositivi. All’interno dei dati della botnet di SpyCloud, emergono regolarmente prove che i dipendenti hanno utilizzato dispositivi personali infetti per accedere alle risorse aziendali, una tendenza che è stata solo esacerbata dall’improvvisa transizione al lavoro remoto . Se un’azienda identifica un dipendente utilizzando un dispositivo infetto, è imperativo intervenire il più rapidamente possibile.
A proposito di utenti infetti, il settore della tecnologia è arrivato in cima a un altro elenco: i consumatori infetti. Sebbene l’ambito della ricerca escludesse i domini destinati esclusivamente ai consumatori, siamo stati comunque in grado di identificare oltre 11 milioni di consumatori di aziende Fortune 1000 le cui credenziali sono state acquisite dai keylogger. Ben 7,8 milioni di questi utenti sono consumatori di aziende del settore tecnologico (circa il 70%).
Per scoprire perché le infezioni da malware dei consumatori sono problematiche e cosa possono fare le aziende al riguardo, consulta la Guida alla risposta degli utenti infetti .
Nel contesto delle violazioni della supply chain 2020, le password errate nel settore aerospaziale e della difesa hanno provocato particolare stupore.
Sei delle prime 10 password più popolari del settore aerospaziale e difesa includono nomi di società. Sebbene i nomi delle società siano scelte di password popolari in tutti i settori, è snervante vedere i nomi dei principali appaltatori della difesa apparire come password popolari per i dipendenti in quel settore, in particolare se si considera che queste violazioni provengono da siti di terze parti.
Se i dipendenti del settore aerospaziale e della difesa utilizzano nomi di società come password di siti di terze parti, è probabile che stiano facendo scelte simili sul lavoro ed è anche possibile che quegli account di terze parti siano legati al lavoro. Le password facili da indovinare forniscono poca protezione per le risorse aziendali e possono aiutare a facilitare non solo l’accesso illegittimo ai segreti aziendali, ma anche attacchi alla supply chain.
Le credenziali per 133.927 dirigenti di livello C Fortune 1000 sono disponibili per i criminali, e il 29% proviene dal settore finanziario.
Il solo settore finanziario ha oltre 39.328 dirigenti di livello C esposti. In media, invece, il settore Hotels, Restaurants & Leisure ha i dirigenti per azienda più esposti: 320 per azienda, contro i 243 per azienda del settore Finance.
I dati provenienti da dirigenti di livello C esposti possono rappresentare un rischio maggiore per i loro datori di lavoro rispetto ai dati collegati ad altri dipendenti, poiché i loro titoli di alto profilo e l’accesso privilegiato possono renderli bersagli convincenti per i criminali. Le aziende dovrebbero monitorare da vicino i dirigenti ad alto rischio per nuove esposizioni a violazioni, inclusi i loro account aziendali e personali. La reimpostazione rapida delle password compromesse può impedire ai criminali di accedere agli account vulnerabili.
Conclusione
L’esposizione alle violazioni dei dipendenti mette a rischio le organizzazioni e anche le più grandi aziende americane non ne sono immuni. I team di sicurezza devono adottare misure proattive per proteggersi dall’acquisizione di account dei dipendenti che può mettere in pericolo le risorse aziendali critiche.
