Discussione Articolo Activision Hackerata leakato database contenente dati dei dipendenti

[DjCanigia]

Activision Hackerata leakato database contenente dati dei dipendenti
​

Activision ha confermato in questi giorni di aver avuto un data breach nel mese di dicembre 2022, tramite un sms di phishing che ha tratto in inganno un dipendente delle risorse umane, il quale ha rivelato erroneamente agli hacker le proprie credenziali di accesso.

L'azienda afferma:

Il 4 dicembre 2022, il nostro team per la sicurezza delle informazioni ha affrontato rapidamente un tentativo di phishing tramite SMS e lo ha risolto rapidamente. A seguito di un'indagine approfondita, abbiamo stabilito che non è stato effettuato l'accesso a dati sensibili dei dipendenti, codici di gioco o dati dei giocatori.

Ciò però non coincide con ciò che è possibile reperire oggi online gratuitamente, infatti su un noto forum di condivisione è stato reso pubblico, in data 27 Febbraio 2023, un database contenente 19.444 record univoci contenenti nomi completi, numeri di telefono, titoli di lavoro, posizioni e indirizzi e-mail di presunti dipendenti di Activision.

Attendiamo eventuali spiegazioni da parte di Activision su ciò che è successo davvero.

Inoltre mi chiedo, sarà mai possibile contrastare definitivamente questi metodi di phishing? Un dipendente di tale importanza dovrebbe essere a conoscenza di questo tipi di rischi; forse la formazione aziendale non è appropriata? Se fosse così è evidente che la responsabilità di formare i propri dipendenti è a carico dell'azienda, e di fatto se manca, la società stessa deve farsi carico di questi inconvenienti.

Voi che ne pensate?

 

[fennek]

LOL, se 2FA viene fatta attraverso SMS non serve neanche fare del phishing, basta uno sim swap.

WebAuthN con chiavette fisiche, e vedi come il phishing va giù...

Prendetevi una Titan e vivete felici.

L'altra cosa: perche i sistemi di monitoring non hanno visto un dump di 19k records? Operazioni di export di massa dovrebbero essere disabilitate dal sistema, a meno che non vengono approvate seguendo il 4 eyes-principle.

 

[--- Ra ---]

se 2FA viene fatta attraverso SMS non serve neanche fare del phishing, basta uno sim swap.

Infatti, spesso gli operatori di telefonia non chiedono i documenti per effettuare la portabilità di un numero su una nuova SIM.

Prendetevi una Titan e vivete felici.

Anche questo è vero...difatti i sistemi bancari spesso utilizzano token fisici per il 2FA

L'altra cosa: perche i sistemi di monitoring non hanno visto un dump di 19k records? Operazioni di export di massa dovrebbero essere disabilitate dal sistema

Questa cosa puzza molto anche a me...sembra strano che un'azienda grande come l'Activision non abbia preso misure di sicurezza di questo tipo. Frequentemente gli autori del colpo/complici si trovano anche all'interno dell'azienda...magari dipendenti insoddisfatti per le politiche di lavoro oppure qualcuno che si è lasciato semplicemente corrompere.

 

[DjCanigia]

Anche questo è vero...difatti i sistemi bancari spesso utilizzano token fisici per il 2FA

In realtà molte banche stanno sostituendo il token fisico con quello digitale (generato dall'app stessa della banca oppure un app apposita sempre del circuito bancario) per rispettare il regolamento Eba 2018/389

 

[--- Ra ---]

In realtà molte banche stanno sostituendo il token fisico con quello digitale (generato dall'app stessa della banca oppure un app apposita sempre del circuito bancario) per rispettare il regolamento Eba 2018/389

E secondo me è un errore, principalmente per tre motivi:
1) Se l'applicazione che genera i token ha delle falle, queste possono essere sfruttate per trovare l'algoritmo di generazione dei codici.
2) Se lo smartphone è infettato da un malware (i.e spyware e affini) è possibile intercettare il codice OTP
3) Nel caso in cui si smarrisca lo smartphone, è possibile che i malintenzionati riescano comunque a recuperare il codice dall'app (i.e lo smartphone non utilizza alcun blocco schermo per l'accesso).
Una chiavetta fisica, invece, rimane sempre lì, a casa tua...nessuno la può "hackerare" a distanza ed è difficile smarrirla poichè non è qualcosa che ti porti sempre dietro come il cellulare.

 

[DjCanigia]

E secondo me è un errore, principalmente per tre motivi:
1) Se l'applicazione che genera i token ha delle falle, queste possono essere sfruttate per trovare l'algoritmo di generazione dei codici.
2) Se lo smartphone è infettato da un malware (i.e spyware e affini) è possibile intercettare il codice OTP
3) Nel caso in cui si smarrisca lo smartphone, è possibile che i malintenzionati riescano comunque a recuperare il codice dall'app (i.e lo smartphone non utilizza alcun blocco schermo per l'accesso).
Una chiavetta fisica, invece, rimane sempre lì, a casa tua...nessuno la può "hackerare" a distanza ed è difficile smarrirla poichè non è qualcosa che ti porti sempre dietro come il cellulare.

Sono d'accordo sui primi due punti ma non sul terzo, molte persone la tengono nel portachiavi o comunque in borsa perché se hanno bisogno di fare certe operazioni (solitamente sopra i 100 euro al giorno) hanno bisogno del token. E perderlo oppure che venga rubato è molto più probabile.
In entrambi i casi comunque con una semplice chiamata veloce si possono bloccare entrambi i token sia digitale che fisico.

Il token digitale funziona comunque con una chiave riservata al dispositivo dove si installa, infatti cambiando dispositivo non basta fare l'accesso, bisogna verificarlo contattando la banca e seguendo una procedura

 

[Netcat]

Accidenti, il dottor fraudster ha dato il meglio di sé stavolta