L’attacco cyber contro Nikkei, la più grande agenzia di stampa finanziaria giapponese, ha portato all’esposizione di dati sensibili e delle cronologie delle chat Slack relative a più di 17mila persone.
Nikkei, il gruppo editoriale giapponese proprietario del Financial Times, ha reso noto lo scorso martedì di aver subìto un attacco cyber, mediante un accesso Slack. Sono perciò state esposte diverse informazioni sensibili commerciali, oltreché le cronologie delle chat Slack di oltre 17mila utenti.
Nonostante le tempistiche dell’annuncio, l’individuazione dell’incidente è avvenuta a settembre. Gli hacker criminali sarebbero riusciti a infiltrarsi nei sistemi di Nikkei sfruttando proprio le credenziali di accesso a Slack di un dipendente.
Un virus aveva infettato il computer personale dell’impiegato, ha spiegato la società, “provocando la fuga dei dati di autenticazione della piattaforma di messaggistica interna”.
I rischi per le informazioni sensibili
L’individuazione dell’incidente di sicurezza è avvenuta settembre, ha precisato la società nipponica. Al momento non si conoscono altri dettagli, ma Nikkei ha già spiegato di aver avviato un’indagine interna e di collaborare con le autorità competenti per accertare le cause e limitare le conseguenze dell’attacco.
Secondo il conglomerato mediatico con sede a Tokyo, potrebbe essere avvenuta la divulgazione di informazioni sui dipendenti e sui collaboratori commerciali. Tra questi, nomi, indirizzi e-mail e cronologie delle chat.
Perché Slack è vulnerabile?
Molti analisti si sono interrogati sui motivi dell’impiego di Slack, viste le potenziali vulnerabilità della piattaforma. L’azienda giapponese ha spiegato di impiegare quel sistema di messaggistica per “alcune delle sue operazioni”. Non ha specificato tuttavia per quali reparti o filiali, ma solo che “c’è stata l’implementazione di contromisure quali la modifica delle password”.
Mayank Kumar, fondatore di DeepTempo, ha spiegato: “La violazione di Nikkei è un esempio da manuale del ciclo di vita degli attacchi moderni. Un ciclo, che passa direttamente da un endpoint compromesso a un’applicazione SaaS di alto valore”.
Secondo quanto ha riportato Cybernews, Kumar ha anche aggiunto: “L’attacco iniziale da malware era solo un punto d’appoggio. Il vero obiettivo era quello di rubare credenziali valide, consentendo agli aggressori di ‘vivere del territorio’ e integrarsi perfettamente nelle normali attività aziendali”.
L’ingresso in Slack ha consentito ai cyber criminali di mascherarsi da “normali dipendenti” rendendo completamente inefficaci “gli strumenti basati su firme o regole”.
