Οι παραβιάσεις δεδομένων Gemini, Uber δείχνουν ότι ο κίνδυνος τρίτων δεν μπορεί να αγνοηθεί

Ο κίνδυνος τρίτων είναι μια από τις πιο παραγνωρισμένες απειλές στην ασφάλεια των επιχειρήσεων. Η έρευνα δείχνει ότι τους τελευταίους 12 μήνες, το 54% των οργανισμών έχουν υποστεί παραβιάσεις δεδομένων μέσω τρίτων. Μόνο αυτή την εβδομάδα και τα δύο Uber και ανταλλαγή κρυπτονομισμάτων Δίδυμοι έχουν προστεθεί σε αυτή τη λίστα.

Πιο πρόσφατα, ο Gemini υπέστη παραβίαση δεδομένων αφού χάκερ παραβίασαν τα συστήματα τρίτου προμηθευτή και απέκτησαν πρόσβαση σε 5,7 εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου και μερικώς συσκοτισμένους αριθμούς τηλεφώνου.

Σε ένα ανάρτηση λαμβάνοντας υπόψη την παραβίαση, ο Gemini αναγνώρισε ότι, ενώ δεν επηρεάστηκαν πληροφορίες λογαριασμού ή συστήματα ως αποτέλεσμα, ορισμένοι πελάτες μπορεί να έχουν στοχοποιηθεί από καμπάνιες ηλεκτρονικού ψαρέματος μετά την παραβίαση.

Ενώ οι πληροφορίες που εκτίθενται στην παραβίαση του Gemini περιορίζονται σε email και μερικούς αριθμούς τηλεφώνου, το hack υπογραμμίζει ότι η στόχευση τρίτων προμηθευτών είναι ένας αξιόπιστος τρόπος για τους φορείς απειλών να συλλέγουν πληροφορίες για χρήση σε απάτες κοινωνικής μηχανικής και άλλες επιθέσεις.

Γιατί τρίτα μέρη αποτελούν εύκολο στόχο για παραβιάσεις δεδομένων

Στην περίπτωση της παραβίασης της Uber, οι χάκερ απέκτησαν πρώτα πρόσβαση Teqtivity’s εσωτερικά συστήματα και έναν διακομιστή AWS, πριν από την εξερεύνηση και τη διαρροή των πληροφοριών λογαριασμού και των Προσωπικών Πληροφοριών Αναγνώρισης (PII) περίπου 77.000 υπαλλήλων της Uber.

Αν και οι παραβιάσεις της Uber και της Gemini είναι ξεχωριστά περιστατικά, οι δύο οργανισμοί έχουν αφεθεί να μαζέψουν τα κομμάτια και να εκτελέσουν τον έλεγχο ζημιών μετά την αποτυχία της προστασίας ασφαλείας τρίτου προμηθευτή.

«Στο μεγάλο σχέδιο των πραγμάτων, οι χαμένες διευθύνσεις email δεν είναι το χειρότερο στοιχείο δεδομένων που πρέπει να χρησιμοποιηθεί. Ωστόσο, είναι μια έντονη υπενθύμιση ότι οι επιχειρήσεις θα συνεχίσουν να υποστούν θερμότητα για παραβιάσεις που (υποτίθεται) συμβαίνουν με τρίτους προμηθευτές τους», είπε. Netenrich ο κύριος κυνηγός απειλών John Bambenek.

Όταν εξετάζουμε αυτά τα περιστατικά εν μέσω της ευρύτερης τάσης των παραβιάσεων τρίτων, φαίνεται ότι οι φορείς απειλών γνωρίζουν καλά ότι οι τρίτοι προμηθευτές είναι ένα σχετικά απλό σημείο εισόδου στα συστήματα των μεταγενέστερων οργανισμών.

Σε τελική ανάλυση, ένας οργανισμός όχι μόνο πρέπει να εμπιστεύεται τα μέτρα ασφαλείας των προμηθευτών πληροφορικής του και να παραδίδει τον έλεγχο των δεδομένων του, αλλά πρέπει επίσης να είναι βέβαιος ότι οι προμηθευτές θα αναφέρουν περιστατικά κυβερνοασφάλειας όταν συμβαίνουν.

Δυστυχώς, πολλοί οργανισμοί εργάζονται μαζί με τρίτους προμηθευτές που δεν εμπιστεύονται πλήρως, με μόνο το 39% των επιχειρήσεων να είναι βέβαιοι ότι ένα τρίτο μέρος θα κοινοποιώ εάν μια παραβίαση δεδομένων προήλθε από την εταιρεία τους.

Οι κίνδυνοι των email που διέρρευσαν: Κοινωνική μηχανική

Αν και οι διευθύνσεις email δεν είναι τόσο επιζήμιες όταν κυκλοφορούν όσο οι κωδικοί πρόσβασης ή η πνευματική ιδιοκτησία, παρέχουν στους εγκληματίες του κυβερνοχώρου αρκετές πληροφορίες για να αρχίσουν να στοχεύουν χρήστες με απάτες κοινωνικής μηχανικής και μηνύματα ηλεκτρονικού ψαρέματος.

«Ενώ η συγκεκριμένη περίπτωση [the Gemini breach] περιλαμβάνει μια ανταλλαγή κρυπτονομισμάτων, το θέμα είναι ένα πολύ πιο γενικό πρόβλημα [with] οι φορείς απειλών αποκτούν πληροφορίες στόχου (email, αριθμούς τηλεφώνου) και κάποιο πλαίσιο σχετικά με αυτές τις πληροφορίες (όλοι χρησιμοποιούν μια συγκεκριμένη υπηρεσία) για να τις καταστήσουν σχετικές», δήλωσε ο Mike Parkin, ανώτερος τεχνικός μηχανικός στον πάροχο αποκατάστασης κινδύνων στον κυβερνοχώρο. Vulcan Cyber.

«Τα τυχαία μηνύματα ηλεκτρονικού ταχυδρομείου είναι εντάξει εάν σκοπεύετε να κάνετε απάτες του Nigerian Prince, αλλά για να εκτελείτε πιο εστιασμένες επιθέσεις στο cast-net που στοχεύουν έναν συγκεκριμένο οργανισμό ή κοινότητα χρηστών, το να έχετε αυτό το πλαίσιο είναι χρυσός παράγοντας απειλής», είπε ο Parkin.

Στο μέλλον, οι απατεώνες θα μπορούν να χρησιμοποιούν αυτές τις διευθύνσεις ηλεκτρονικού ταχυδρομείου για να συντάσσουν άκρως στοχευμένες καμπάνιες ηλεκτρονικού „ψαρέματος“ και απάτες κρυπτογράφησης για να προσπαθήσουν να εξαπατήσουν τους χρήστες να συνδεθούν σε ψεύτικους ιστότοπους ανταλλαγής ή να παραδώσουν άλλες ευαίσθητες πληροφορίες.

Η απάντηση: Μετριασμός κινδύνου από τρίτους

Ένας τρόπος με τον οποίο οι οργανισμοί μπορούν να αρχίσουν να μετριάζουν τον κίνδυνο τρίτων είναι να επανεξετάσουν τις σχέσεις προμηθευτών και να αξιολογήσουν τον αντίκτυπο που έχουν στη στάση ασφαλείας του οργανισμού.

«Οι οργανισμοί πρέπει να κατανοήσουν πού θα μπορούσαν να εκτεθούν σε κίνδυνο που σχετίζεται με τον προμηθευτή και να εφαρμόσουν συνεπείς πολιτικές για την επαναξιολόγηση αυτών των σχέσεων», δήλωσε ο Bryan Murphy, ανώτερος διευθυντής συμβουλευτικών υπηρεσιών και αντιμετώπισης περιστατικών στο CyberArk.

Σε θεμελιώδες επίπεδο, οι επιχειρήσεις πρέπει να αρχίσουν να θεωρούν τους τρίτους προμηθευτές ως επέκταση της επιχείρησής τους και να αναλάβουν την κυριότητα, ώστε να υπάρχουν οι απαραίτητες προστασίες για την ασφάλεια των στοιχείων ενεργητικού.

Για την Bambenek, ο πιο πρακτικός τρόπος με τον οποίο οι CISO μπορούν να το κάνουν αυτό είναι να ενσωματώσουν ασφάλεια σε επίπεδο συμβολαίου.

«Οι CISO πρέπει να βεβαιωθούν ότι τουλάχιστον οι συμβάσεις τους είναι τεκμηριωμένες για να επιβάλλουν εύλογες απαιτήσεις ασφάλειας και χρησιμοποίησαν εργαλεία παρακολούθησης κινδύνου τρίτων για την αξιολόγηση της συμμόρφωσης. Όσο πιο ευαίσθητα είναι τα δεδομένα, τόσο πιο ισχυρές πρέπει να είναι οι απαιτήσεις και η παρακολούθηση», δήλωσε ο Bambenek.

Αν και αυτά τα μέτρα δεν θα εξαλείψουν πλήρως τους κινδύνους της συνεργασίας με τρίτους, θα παρέχουν στους οργανισμούς πρόσθετες προστασίες και θα τονίζουν ότι έχουν επιμεληθεί τη δέουσα επιμέλειά τους για την προστασία των δεδομένων πελατών.