Nel sempre più complesso scenario della cybersicurezza, arriva una notizia che non potrà lasciare indifferenti gli utenti Samsung, in particolare quelli residenti in Germania: un importante fornitore di servizi della casa sudcoreana è stato vittima di un attacco informatico che ha portato alla sottrazione di un corposo database di supporto clienti, successivamente messo in vendita nel cosiddetto darknet.

La vicenda, avvenuta circa due settimane fa, è stata ora confermata anche da Troy Hunt, il noto esperto di sicurezza informatica nonché creatore del progetto Have I Been Pwned (HIBP), che ha ottenuto una copia dei dati e li ha aggiunti al suo repository pubblico.

Samsung Germania coinvolta da un attacco informatico, rubati i dati dei clienti

I dettagli condivisi nelle ultime ore delineano uno scenario piuttosto chiaro: circa 270.000 record sono finiti nelle mani sbagliate, anche se il numero effettivo di indirizzi email univoci coinvolti si attesta intorno alle 216.000 unità. Non si parla, fortunatamente, di dati sensibili come credenziali bancarie o password, ma l’entità delle informazioni sottratte resta comunque rilevante; si tratta infatti di nomi, indirizzi fisici, dettagli su acquisti effettuati, numeri di tracking e ticket di supporto.

Tutti dati che, presi singolarmente, potrebbero sembrare innocui, ma che se aggregati e utilizzati in maniera mirata potrebbero facilitare campagne di phishing particolarmente sofisticate; i criminali informatici infatti, tendono a sfruttare proprio queste informazioni per inviare email apparentemente legittime, aumentando così le probabilità che gli utenti ci caschino.

Contrariamente a quanto ipotizzato in un primo momento, i criminali non avrebbero utilizzato credenziali obsolete per penetrare nei sistemi, ma avrebbero sfruttato una vulnerabilità in un server secondario appartenente al fornitore di servizi Spectos, da anni partner di Samsung in ambito customer care.

Secondo quanto dichiarato da Spectos, l’accesso iniziale avrebbe permesso agli attaccanti di muoversi all’interno di più aree dell’infrastruttura cloud, pur non riuscendo (fortunatamente) ad accedere ai sistemi principali, che sono rimasti isolati e protetti. Nonostante ciò, la società ha prontamente messo in atto tutta una serie di misure necessarie per la protezione dei sistemi, nello specifico:

Arresto immediato dei server interessati

Restrizione completa dell’accesso per i sistemi compromessi

Modifica di tutti i dati di accesso, password e rotazione delle chiavi

Eliminazione di tutti gli account utente amministrativi

Ripristino dei sistemi da backup verificati

Installazione di patch critiche per la sicurezza

Introduzione di un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM)

Rafforzamento dell’infrastruttura cloud e test di penetrazione

Revisione della struttura IAM con allocazione minima dei diritti

Formazione di sensibilizzazione e sensibilizzazione per tutti i dipendenti

Formazione degli amministratori di sistema

Istituzione di un monitoraggio esterno continuo

Un ulteriore elemento che contribuisce a definire i contorni di questa violazione riguarda il profilo delle persone coinvolte, i dati sarebbero relativi esclusivamente a clienti Samsung che hanno aperto una richiesta di supporto, spesso e volentieri a causa di malfunzionamenti del dispositivo e della conseguente necessità di spedire fisicamente l’hardware all’assistenza; non è dunque un furto di massa che coinvolge tutti gli account Samsung, ma un incidente circoscritto a una fascia specifica di utenti.

Come sempre in questi casi, è la trasparenza a fare la differenza: chiunque abbia aperto un caso di supporto con Samsung (soprattutto se domiciliato in Germania) può verificare se il proprio indirizzo email è presente tra quelli compromessi visitando il sito ufficiale Have I Been Pwned.

In attesa di comunicazioni ufficiali da parte di Samsung Germania, che al momento non ha ancora rilasciato un commento pubblico dettagliato sulla vicenda, gli utenti sono invitati ad adottare le consuete misure precauzionali: diffidare da email sospette, non cliccare su link non richiesti e verificare periodicamente eventuali attività anomale legate al proprio indirizzo email o ai propri account digitali.