Una violazione dei dati in Shopify perpetrata da due "dipendenti disonesti" che hanno lavorato al team di supporto della piattaforma di e-commerce illustra come determinati ruoli all'interno di un'organizzazione possano richiedere un monitoraggio più rigoroso.
Sulla base della pagina di supporto online di Shopify, il "team di supporto" sembra fare riferimento ai dipendenti del centro assistenza che gestiscono le richieste e le richieste di risoluzione dei problemi inviate sia dai commercianti che dai loro clienti. Gli esperti hanno detto a SC Media che i dipendenti che lavorano per un tale dipartimento hanno potenzialmente accesso a un'ampia varietà di dati a portata di mano, che potrebbero visualizzare, raccogliere o esfiltrare per scopi illegittimi.
"È fondamentale che queste persone vengano monitorate", ha affermato Armaan Mahbod, direttore della ricerca contro le minacce interne presso la società di monitoraggio remoto dei dipendenti Dtex Systems. Mahbod ha dichiarato a SC Media che tali dipendenti spesso hanno la capacità di utilizzare strumenti di servizio remoto per accedere direttamente ai sistemi dei clienti, ai siti Web e al portale dei clienti e potenzialmente anche ai registri delle transazioni.
E poiché Shopify è essenzialmente un servizio di terze parti per i rivenditori online, uno scenario di violazione dei dati in questo caso "potrebbe essere un individuo dell'assistenza clienti che ha accesso, essenzialmente, ai dati dei propri clienti o che ha accesso ai dati dei clienti dei propri clienti", Mahbod ha continuato.
Se i dipendenti di supporto hanno accesso amministrativo, potrebbero persino "iniettare codice shadow in questi negozi sotto forma di plug-in e script di terze parti, che possono quindi essere utilizzati per lanciare attacchi di skimming contro il commerciante, alimentando un ciclo infinito di acquisizione dell'account e credito frode con le carte ", ha detto Ameet Naik, evangelista della sicurezza presso PerimeterX. (Non ci sono indicazioni che ciò sia accaduto con Shopify.)
Secondo la notifica online ufficiale di Shopify, i due dipendenti – il cui accesso è stato interrotto da allora – "erano coinvolti in uno schema per ottenere i record delle transazioni dei clienti di determinati commercianti" che sfruttano la piattaforma di e-commerce. Durante il processo, hanno esposto indirizzi e-mail fisici, nomi e dettagli dell'ordine, ma non i numeri completi delle carte di pagamento o "altre informazioni personali o finanziarie sensibili". Ma anche senza informazioni finanziarie complete, gli avversari potrebbero potenzialmente utilizzare tali dati per lanciare attacchi di phishing mirati.
Shopify deve ancora nominare il numero esatto di commercianti interessati o spiegare in che modo l'attività non autorizzata è stata infine rilevata. Ma il fatto che così tanti commercianti Shopify siano stati colpiti come minimo suggerisce che le azioni dei dipendenti non sono state contrassegnate e rilevate così rapidamente come probabilmente avrebbero dovuto essere, ha detto Mahbod.
In effetti, Mahbod ha detto che quando si verificano questi tipi di schemi, si manifestano "bassi e lenti", quindi "è qualcosa che probabilmente sta succedendo da un po 'di tempo. È qualcosa che avrebbe dovuto essere rilevato molto, molto prima. Avrebbe dovuto essere stroncato sul nascere. "
Forse più casi come questi potrebbero essere stroncati sul nascere se determinate precauzioni fossero prese in anticipo.
Shareth Ben, direttore esecutivo, ingegneria sul campo presso Securonix, ritiene che sia garantito un approccio meno privilegiato.
“Di solito, il personale o gli appaltatori che lavorano in un ruolo di centro assistenza dovrebbero avere un accesso limitato o un accesso specifico alla loro funzione lavorativa se si aderisce al concetto di 'privilegio minimo'. In questa situazione [con Shopify], non siamo sicuri che sia così ", ha detto Ben.
Allo stesso modo, Naik ha consigliato ad aziende come Shopify di adottare una strategia zero-trust. "Con le piattaforme software-as-a-service, i dipendenti interni, come quelli che gestiscono i ticket di supporto, hanno spesso accesso privilegiato alle informazioni sui clienti, comprese in alcuni casi le informazioni di identificazione personale", ha affermato Naik. "Le organizzazioni devono garantire che la privacy sia parte integrante della progettazione delle loro piattaforme e adottare un approccio zero-trust per garantire l'accesso".
Tuttavia, Mahbod sostiene che questo "blocco e blocco" dei dipendenti dell'assistenza può potenzialmente ritorcersi contro se applicato in modo troppo rigoroso perché, per svolgere correttamente il proprio lavoro, questi lavoratori spesso hanno bisogno di un rapido accesso a un'ampia gamma di capacità e sistemi. "Rende solo l'attività più inefficiente e si muove in modo inefficace", ha detto.
Mahbod suggerisce quindi alle aziende di monitorare la forza lavoro per attività che violano le norme comportamentali, attività particolare che devia dalle responsabilità basate sul ruolo dei dipendenti e dalle azioni passate. Ad esempio, ha affermato Mahbod, non dovrebbe esserci bisogno per i dipendenti del centro assistenza di salvare i file localmente o rinominarli localmente, perché gli strumenti di gestione delle relazioni con i clienti a loro disposizione dovrebbero già archiviare i dati di cui hanno bisogno.
L'invio di dati o file tramite e-mail personale o strumenti di messaggistica istantanea o attività che si svolgono durante le ore non lavorative sono altri importanti segnali di pericolo, ha aggiunto, sostenendo strumenti che forniscano una traccia di controllo completa e visibile su tutti i sistemi a cui un dipendente ha accesso.
Ben è anche favorevole alle aziende che monitorano i dipendenti per garantire che non stiano tentando di accedere a sistemi o dati in modo non autorizzato.
“Sebbene le aziende che hanno una buona posizione di sicurezza possano disporre di controlli tecnici preventivi, come fanno a sapere che sta funzionando? Questo è il motivo per cui è necessario monitorare l'escalation degli account dei privilegi o l'uso improprio di privilegi elevati ", ha affermato Ben. "Se questo fosse in atto, saresti in grado di monitorare l'attività degli utenti autorizzati così come l'attività degli utenti non autorizzati che in genere lascia dietro di sé le briciole di pane per gli strumenti di sicurezza da raccogliere."
Con questo in mente Ben ha riassunto gli strumenti di cui le aziende hanno bisogno per contrastare le minacce interne: "Se i dipendenti disonesti hanno tentato di accedere a un sistema non autorizzato nel tempo e alla fine ci sono riusciti, è qualcosa che si desidera rilevare. Quindi, definire chi può accedere a cosa è il primo passo ", ha detto Ben. "Ciò può essere ottenuto implementando un'adeguata gestione dell'identità e degli accessi".
"Quindi, il monitoraggio per garantire che la politica venga seguita è il secondo passaggio", ha continuato Ben. Un SIEM o uno strumento di monitoraggio del comportamento degli utenti in grado di riunire i privilegi di accesso e l'attività degli utenti su sistemi importanti può rilevare comportamenti nefasti. Una volta raggiunta la visibilità fondamentale, ha aggiunto, le aziende possono cercare attività privilegiate e attività di tipo escalation di privilegi, che sono segnali di comportamento dannoso.
Naik ha inoltre raccomandato alle aziende di occuparsi della privacy durante la progettazione dei propri siti Web e applicazioni, raccogliendo "il minor numero possibile di PII per ridurre al minimo l'impatto di una violazione dei dati da parte di insider". Inoltre, "i commercianti di e-commerce che utilizzano piattaforme SaaS come Shopify devono assicurarsi di utilizzare l'autenticazione a più fattori per i loro account amministratore e investire in soluzioni di sicurezza delle applicazioni lato client per rilevare e bloccare le minacce del codice ombra nei loro negozi online".
La violazione del post Shopify: i dipendenti del Centro assistenza sono una specie unica di minacce interne apparse per la prima volta su SC Media .