L’attacco informatico che ha colpito la Coinbase, società statunitense che si occupa di beni digitali, avrebbe creato degli effetti particolari. A fronte di danni potenziali per 400 milioni di dollari, la borsa avrebbe dato ben altre risposte. Al Nasdaq, infatti, il titolo sarebbe cresciuto del 7%.
Tra borsa e vulnerabilità cibernetiche
L’attacco informatico che ha colpito la Coinbase ha destato grandi attenzioni per i suoi effetti. La modalità stessa della minaccia, poi, ha portato gli analisti a soffermarsi sul problema delle minacce interne. Al contempo, a fronte di danni potenziali per 400 milioni di dollari, la borsa (il Nasdaq) ha registrato una crescita del 7%.
Come ha spiegato la stessa società di scambio di beni digitali fondata nel 2012, con sede principale a San Francisco (USA), i criminali hanno utilizzato un sistema tanto semplice quanto efficace. Ossia, il pagamento di somme in denaro (leggasi, corruzione) ad alcuni collaboratori e dipendenti della società, in larga parte distaccati nelle sede fuori dagli USA.
A fronte di queste somme di denaro, i rappresentanti della Coinbase avrebbero dovuto ‘vendersi’ gli accessi. Così facendo, anche i sistemi di sicurezza cibernetica più robusti sarebbe di colpo divenuti inoffensivi. La fiducia, dunque, è una componente umana assolutamente dual use e strumentale. In questo caso la violazione dei dati potrebbe costare appunto fino a 400 milioni di dollari per i clienti.
Modalità criminali
I criminali, per l’appunto, hanno preso di mira i nostri agenti di assistenza clienti all’estero. Hanno usato offerte in denaro per convincere un piccolo gruppo di ‘insider ‘interni’ a copiare i dati degli strumenti di assistenza clienti. Il tutto, comunque, per meno dell’1% degli utenti che hanno effettuato transazioni mensili con Coinbase.
Il loro obiettivo era quello di raccogliere un elenco di clienti da contattare fingendo di essere Coinbase e convincendo le persone a consegnare le loro criptovalute. Hanno inoltre cercato di estorcere alla stessa azienda 20 milioni di dollari per coprire il tutto.
In maniera altrettanto trasparente, la società ha voluto precisare cosa i criminali abbiano ottenuto e cosa non abbiano raccolto. Nel primo caso, sempre limitatamente ad un campione di clienti:
- Nome, indirizzi, telefono ed e-mail.
- Numeri di conti bancari mascherati e alcuni identificatori di conti bancari.
- Immagini di documenti d’identità governativi (ad esempio, patente di guida, passaporto).
- Dati da conti (istantanee del saldo e cronologia delle transazioni).
- Informazioni inerenti ad aziende.
Nell’altro caso, non c’è stato alcuno accesso malevolo a:
- Credenziali di accesso o codici 2FA
- Chiavi private.
- Qualsiasi capacità di spostare o accedere ai fondi dei clienti.
- Accesso ai conti Coinbase Prime.
- Accesso a qualsiasi portafoglio della Coinbase o dei clienti Coinbase.
La Coinbase quindi messo in piedi un sistema di tutele e assistenze, là dove ciascun profilo sia stato effettivamente violato. La notifica della violazione è avvenuta tramite posta elettronica, con una spedita dall’indirizzo no-reply@info.coinbase.com. Ha inoltre spiegato che investirà, da subito, maggiormente in sicurezza cyber. E i mercati lo hanno recepito.
Il monito
Al netto degli aspetti d’immagine, questa vicenda ha portato all’attenzione degli esperti e dei tecnici una particolare vulnerabilità. Le minacce interne che possono coinvolgere ogni software sono spesso difficilmente prevedibili. Il rischio zero in questi scenari è pressoché inesistente.
Questo, perché i problemi deriverebbero direttamente da comportamenti anomali o malevoli di chi ha già avuto l’accesso legittimo ai sistemi aziendali. In termini tecnici si parla perciò di ‘insider threats‘. Per innalzare i livelli di sicurezza cibernetica, si è perciò imposta la necessità di analizzare e approfondire le singole condotte di tutti coloro che sono coinvolti nel sistema.
