Rischio umano: una campagna di Salesforce e un panino di Rapper Bot: Una campagna di Salesforce e un sandwich di Bot Rapper

In questa edizione di Human Risk Roundup, ci immergiamo in tre eventi recenti di alto profilo e degni di nota - continui a leggere per maggiori informazioni.

La violazione dei dati di Workday porta con sé i segni di un diffuso hack di Salesforce

Workday ha rivelato una violazione dei dati durante la quale gli aggressori hanno avuto accesso a un sistema CRM di terze parti, ottenendo informazioni sui contatti aziendali attraverso una campagna di social engineering rivolta ai dipendenti. Questo incidente fa parte di un attacco più ampio alle istanze di Salesforce, potenzialmente collegato a gruppi di criminalità informatica come Scattered Spider e ShinyHunters, che colpisce diverse organizzazioni importanti.

Cosa è successo

Durante la violazione, gli aggressori hanno ottenuto le informazioni di contatto delle aziende, come nomi, numeri di telefono e indirizzi e-mail. Gli aggressori hanno utilizzato tattiche come quella di fingersi IT o HR per indurre i dipendenti a rivelare informazioni sensibili. Workday ha confermato di non aver avuto accesso agli affittuari dei clienti o ai dati interni e ha implementato ulteriori misure di sicurezza. Anche altre importanti organizzazioni, tra cui Adidas, Cisco e Google, sono state prese di mira in questa campagna.

Perché è importante

La violazione dei dati di Workday sottolinea l'importanza di una solida formazione dei dipendenti e di misure di sicurezza a più livelli per contrastare le tattiche di social engineering. Inoltre, sottolinea la necessità che il personale addetto alla cybersecurity monitori i sistemi di terze parti e implementi le protezioni contro gli accessi non autorizzati. 

Quattro consigli pratici per i leader della sicurezza

1. Istruisca i dipendenti sulle tattiche di social engineering, come le finte chiamate all'IT o alle risorse umane, per evitare che gli aggressori accedano a informazioni sensibili.
2. Verifichi e monitori regolarmente i sistemi di terze parti, come le piattaforme CRM, per assicurarsi che non siano anelli deboli nella sua catena di sicurezza.
3. Aggiunga ulteriori livelli di sicurezza, come l'autenticazione a più fattori e i controlli di accesso, per proteggere dagli accessi non autorizzati.
4. Rimanga informato sulle campagne in corso e sugli attori delle minacce, come Scattered Spider e ShinyHunters, per adattare in modo proattivo le sue strategie di sicurezza.

Per saperne di più sulla violazione.

L'uomo dell'Oregon è stato accusato del servizio DDoS 'Rapper Bot'.

Un uomo di 22 anni dell'Oregon, Ethan J. Foltz, è stato arrestato per aver gestito "Rapper Bot," una botnet di decine di migliaia di dispositivi IoT violati e utilizzati per massicci attacchi DDoS, tra cui uno che ha interrotto Twitter/X nel marzo 2025. La botnet, affittata agli estorsori, ha condotto oltre 370.000 attacchi a livello globale, mentre Foltz e il suo partner hanno adottato misure per evitare il rilevamento da parte delle forze dell'ordine.

Cosa è successo

La botnet è stata affittata agli estorsori e ha preso di mira diverse aziende, principalmente in Cina. Foltz e il suo co-cospiratore, noto come "Slaykings," hanno mantenuto la botnet ad una dimensione gestibile per evitare il rilevamento, mentre conducevano oltre 370.000 attacchi tra aprile e agosto 2025. Gli investigatori hanno rintracciato Foltz attraverso i registri di PayPal e Google, rivelando i suoi sforzi per monitorare i blog di sicurezza ed eludere le forze dell'ordine. Gli attacchi della botnet superavano spesso i sei terabit al secondo, causando alle vittime danni finanziari e operativi significativi. Se condannato, Foltz rischia fino a 10 anni di carcere per favoreggiamento di intrusioni informatiche.

Perché è importante

Sfruttando decine di migliaia di dispositivi IoT, Rapper Bot ha eseguito massicci attacchi DDoS. Il caso sottolinea le vulnerabilità dei dispositivi IoT e la necessità di misure di sicurezza robuste per impedirne lo sfruttamento. Rivela inoltre come i criminali informatici tentino di eludere il rilevamento mantenendo una dimensione della botnet "Goldilocks" ed evitando obiettivi di alto profilo come KrebsOnSecurity. L'impatto finanziario e operativo di questi attacchi, che possono costare alle vittime migliaia di dollari al minuto, sottolinea l'importanza di strategie di difesa proattive. Infine, il caso serve a ricordare il ruolo critico della collaborazione tra le forze dell'ordine e gli esperti di sicurezza informatica nella lotta contro queste minacce sofisticate.

Quattro consigli pratici per i leader della sicurezza

1. Si assicuri che tutti i dispositivi IoT della sua rete siano sicuri e aggiornati.
2. Investa in solide tecnologie di difesa DDoS, come i bilanciatori di carico, l'overprovisioning o servizi come Project Shield di Google.
3. Rimanga informato sui nuovi exploit e ceppi di malware monitorando le notizie sulla cybersecurity e i rapporti di intelligence sulle minacce.
4. Esegua regolarmente audit e riduca al minimo l'esposizione della sua rete alle potenziali minacce, anche applicando controlli di accesso rigorosi, utilizzando chiavi di accesso e implementando politiche standardizzate per impedire ai dispositivi non autorizzati di interfacciarsi con i sistemi critici.

Per saperne di più sulla botnet.

La massiccia violazione dei dati di Allianz Life ha un impatto su 1,1 milioni di persone

Una violazione dei dati presso Allianz Life, collegata a un targeted attack a Salesforce da parte del gruppo di estorsori ShinyHunters (che sono anche i possibili responsabili della prima violazione nella rubrica Human Risk Roundup di oggi), ha esposto le PII di 1,1 milioni di persone, tra cui nomi, indirizzi e-mail e codici fiscali. Questa violazione prevedeva che gli aggressori sfruttassero applicazioni OAuth dannose per rubare i database ed estorcere le vittime.

Cosa è successo

La violazione si è verificata il 16 luglio 2025, proprio come quella di Workday, attraverso un sistema CRM cloud di terzi. I dati rubati includevano nomi, indirizzi e-mail, numeri di telefono, indirizzi fisici e dettagli sensibili come i codici fiscali. ShinyHunters ha fatto trapelare 2,8 milioni di dati, colpendo clienti, consulenti finanziari e partner commerciali. L'attacco ha sfruttato app OAuth dannose per accedere ai database di Salesforce. Allianz Life ha confermato la violazione, ma ha rifiutato ulteriori commenti a causa di un'indagine in corso.

Perché è importante

Questa violazione evidenzia le vulnerabilità critiche dei sistemi cloud di terze parti come Salesforce. Il personale addetto alla sicurezza informatica deve notare che gli aggressori hanno sfruttato le connessioni delle app OAuth per accedere ai dati sensibili dei clienti. Questa violazione sottolinea la crescente sofisticazione dei criminali informatici che prendono di mira aziende di alto profilo, nonché i rischi a cascata degli attacchi alla catena di approvvigionamento, dato che in questa campagna sono state colpite più organizzazioni globali. 

Quattro consigli pratici per i leader della sicurezza

1. Valutare e monitorare regolarmente le pratiche di sicurezza dei fornitori terzi, soprattutto quelli che gestiscono sistemi critici come i CRM basati sul cloud.
2. Informi i dipendenti sui rischi del collegamento di app OAuth non autorizzate ai sistemi aziendali e distribuisca strumenti per monitorare e limitare tali connessioni per evitare accessi non autorizzati.
3. Prepararsi a potenziali violazioni dei dati sviluppando e testando piani completi di risposta agli incidenti, comprese strategie di comunicazione chiare per i clienti e gli stakeholder interessati.
4. Si tenga informato sulle minacce emergenti, come i gruppi di estorsione come ShinyHunters, e implementi misure per rilevare e mitigare questi rischi prima che abbiano un impatto sulla sua organizzazione.

Per saperne di più sulla violazione.