Secondo un nuovo rapporto di BitSight Technologies, almeno una credenziale SSO (Single Sign-On) di ben la metà delle 20 aziende di maggior valore negli Stati Uniti è disponibile per la vendita sul dark web. Inoltre, il 25% delle società S&P 500 ha almeno un utente la cui credenziale SSO è in vendita.
Cosa è una SSO (Single Sign-On) ?
L’SSO è un elemento essenziale per le aziende e per tutte le organizzazioni i cui dipendenti hanno bisogno di ridurre l’affaticamento da password, migliorare l’amministrazione IT e accedere in modo sicuro a più applicazioni da un unico cruscotto. BitSight ha notato che l’SSO riduce anche il phishing e può aumentare la produttività. Il rovescio della medaglia è che una singola password SSO compromessa minaccia l’intero tessuto di sicurezza delle organizzazioni. Il fatto che BitSight abbia scoperto credenziali appartenenti al 25% delle più grandi aziende statunitensi, che rappresentano un valore di mercato di 11.000 miliardi di dollari, in vendita sul dark web solleva quindi serie preoccupazioni. Il numero totale di aziende pubbliche le cui credenziali SSO sono in vendita è di poco inferiore a 350. La società di valutazione e rating della cybersicurezza ha osservato che la disponibilità di credenziali SSO sta aumentando vertiginosamente nel 2022. Il numero di credenziali SSO delle aziende pubbliche ha superato la soglia delle 3000 unità nel luglio 2022.
Credenziali in palio sui marketplace del Dark Web
Più di 1.500 di queste nuove credenziali SSO sono state messe in vendita a giugno e luglio. Il numero è destinato ad aumentare in agosto, considerando l’impatto della campagna di phishing 0ktapus che ha compromesso 9.931 credenziali di accesso e oltre 5.000 codici di autenticazione a più fattori (MFA) di 136 aziende, tra cui Twilio, Cloudflare e Mailchimp. Nuove credenziali SSO in vendita secondo i mesi del 2022 Nuove credenziali SSO in vendita secondo i mesi del 2022 | Fonte: Stephen Boyer, cofondatore e CTO di BitSight, ha dichiarato: “Il furto di credenziali può essere relativamente banale e molte organizzazioni non sono consapevoli delle minacce critiche che possono derivare proprio dal furto di credenziali SSO. Questi risultati dovrebbero aumentare la consapevolezza e motivare un’azione tempestiva per conoscere meglio queste minacce”. Nella campagna 0ktapus, gli attori della minaccia hanno impersonato il servizio di gestione dell’identità e dell’accesso di Okta. Tuttavia, la minaccia può provenire anche dai fornitori, come nel caso della violazione di Okta nel gennaio 2022 (ma rivelata due mesi dopo, a marzo, dopo che il gruppo di cyber-estorsione Lapsus$ ha pubblicato gli screenshot) attraverso uno dei suoi fornitori, Sitel. BitSight ha scoperto che le organizzazioni del settore tecnologico sono le più colpite, seguite da quelle del settore manifatturiero, finanziario, energetico, dei servizi alle imprese, dei trasporti, della sanità, dei beni di consumo e dei media e dell’intrattenimento.
- BitSight suggerisce quanto segue per proteggere le credenziali:
- Sfruttare l’MFA adattivo, che si basa sulla geolocalizzazione, sul giorno e sull’ora per identificare le attività sospette o l’autenticazione universale a due fattori (U2F), che utilizza una chiave fisica legata all’origine e blocca l’autenticazione su siti falsi. La semplice MFA può essere aggirata, come dimostrato da una recente campagna di phishing AiTM.
- Adottare il principio del minimo privilegio, ossia limitare il numero di applicazioni a cui i dipendenti possono accedere solo a quelle necessarie.
- Gestione del rischio di terze parti/venditori, valutando la loro postura in materia di sicurezza informatica, implementando un monitoraggio continuo e tenendo traccia dei dati condivisi con loro e se sono sensibili.
Esposti 500.000 dati sensibili delle migliori Fortune 500 aziende americane
