Secondo gli analisti, non si è trattato di un exploit o ad una vulnerabilità zero-day, ma di un errore di configurazione.
Pochi giorni fa, Neo Security ha scoperto un backup SQL Server da 4 terabyte appartenente al gigante della contabilità Ernst&Young (EY) accessibile su Microsoft Azure. La rilevazione è avvenuta durante una scansione di routine, finalizzata a mappare le esposizioni pubbliche delle organizzazioni internazionali.
Secondo gli analisti, non si è trattato di un exploit o ad una vulnerabilità zero-day, ma di un errore di configurazione. Una singola scelta che ha trasformato un database privato in una potenziale minaccia globale. In quella mole di 4 terabyte di dati, in formato .BAK, c’erano milioni di potenziali chiavi API, token di autenticazione, credenziali e documenti finanziari sensibili.
Il tutto, era raggiungibile senza autenticazione. Quello che hanno trovato non era un file di prova o dati fittizi, ma l’equivalente digitale di un caveau finanziario lasciato spalancato. L’episodio, pur essendo stato risolto rapidamente e senza evidenze di accessi malevoli, ha lasciato interrogativi sulla sicurezza post-acquisizione e sulla gestione della superficie d’attacco cloud.
Qual era il rischio cyber?
Durante questa mappatura, Neo Security ha rilevato l’anomalia su Azure. Dopodiché, attraverso “una serie di richieste HTTP passive“, ha confermato l’accessibilità del file.
Secondo il gruppo di esperti, la causa risiedeva in una ACL (Access Control List) configurata in modo errato. L’ipotesi è stata quella di un processo di backup automatizzato impostato su public “per effetto di impostazioni di default troppo permissive“.
Dopo la segnalazione, EY ha reagito con prontezza, chiudendo l’esposizione entro circa una settimana e collaborando con Neo Security nella fase di indagini e valutazioni.
Pur non essendoci prove di un’esfiltrazione, gli analisti hanno sottolineato che i dati “potrebbero essere stati visibili a più soggetti durante la finestra temporale”. Il tutto, soprattutto per via della presenza costante di scanner automatici nel cyberspazio.
Cos’è un SQL Server?
Un file .BAK di SQL Server è un backup completo del database. Al suo interno si trova ogni tipo di informazione, anche quelle più sensibili. Chiavi API, token di sessione, credenziali utente, token di autenticazione memorizzati nella cache, password degli account di servizio. Basta che ci sia stato il suo inserimento in memoria nel database.
Il fatto che un backup SQL da 4 TB di un gigante della consulenza fiscale fosse esposto e potenzialmente pubblico sul web è la dimostrazione di una grave vulnerabilità organizzativa. Situazioni simili, oltreché un’opportunità per i cyber criminali, costituiscono un danno reputazionale, con effetti economici notevoli.
