Dell avverte i clienti di una violazione dei dati dopo che un attore minaccioso ha dichiarato di aver rubato informazioni personali di circa 49 milioni di account.
Il produttore di computer ha iniziato a inviare notifiche di violazione dei dati via email ai clienti giovedì scorso, affermando che un portale contenente informazioni sui clienti relative agli acquisti è stato compromesso.
Indice degli argomenti
La violazione dei dati da un portale di proprietà di Dell
“Stiamo attualmente investigando un incidente che coinvolge un portale Dell, che contiene un database con tipi limitati di informazioni sui clienti relative agli acquisti da Dell”, si legge in una notifica di violazione dei dati condivisa sui social. “Crediamo che non ci sia un rischio significativo per i nostri clienti dato il tipo di informazioni coinvolte”.
Dell afferma che le seguenti informazioni sono state accessibili dall’attore minaccioso durante la violazione:
- nome cliente;
- indirizzo fisico;
- informazioni sull’hardware e sugli ordini Dell, compreso il tag del servizio, la descrizione dell’articolo, la data dell’ordine e le informazioni sulla garanzia correlate.
L’azienda sottolinea che le informazioni rubate non includono informazioni finanziarie o di pagamento, indirizzi email o numeri di telefono e che stanno collaborando con le forze dell’ordine e una società di analisi forense di terze parti per indagare sull’incidente.
I dati erano in vendita su un forum di hacking
Come riportato per la prima volta da Daily Dark Web, un attore malevolo di nome Menelik ha cercato di vendere un database Dell sul forum di hacking Breach Forums il 28 aprile.
L’attore delle minacce ha affermato di aver rubato dati dal produttore di computer per “49 milioni di clienti e altri sistemi informativi acquistati da Dell tra il 2017 e il 2024”. Menelik ha affermato di essere riuscito a rubare i dati dopo aver scoperto un portale per partner e rivenditori che poteva essere utilizzato per cercare informazioni sugli ordini.
Menelik dice di essere riuscito ad accedere al portale registrando più account con nomi di aziende false e di aver avuto accesso entro due giorni senza verifica. “È molto facile registrarsi come Partner. Basta compilare un modulo di domanda”, ha detto Menelik. “Inserisci i dettagli dell’azienda, il motivo per cui vuoi diventare un partner e poi ti approvano semplicemente e ti danno accesso a questo portale ‘autorizzato’. Ho appena creato i miei account in questo modo. L’intero processo richiede 24-48 ore”.
Una volta ottenuto l’accesso al portale, Menelik ha riferito di aver creato un programma che generava tag di servizio a 7 cifre e li inviava alla pagina del portale stesso a partire da marzo per estrarre le informazioni restituite.
Poiché il portale non includeva alcun limite di velocità, l’attore afferma di essere riuscito a raccogliere le informazioni di 49 milioni di record di clienti generando 5.000 richieste al minuto per tre settimane, senza che Dell bloccasse i tentativi. Menelik afferma che i record dei clienti rubati includono la seguente suddivisione dell’hardware:
- Monitor: 22.406.133
- Notebook Alienware: 447.315
- Chromebook: 198.713
- Notebook Inspiron: 11.257.567
- Desktop Inspiron: 1.731.767
- Laptop Latitude: 4.130.510
- Optiplex: 5.177.626
- Poweredge: 783.575
- Desktop Precision: 798.018
- Notebook Precision: 486.244
- Notebook Vostro: 148.087
- Desktop Vostro: 37.427
- Notebook Xps: 1.045.302
- Desktop XPS/Alienware: 399.695
Gli attori dietro questo data breach hanno anche dichiarato di aver inviato un’email a Dell il 12 e il 14 aprile per segnalare il bug al loro team di sicurezza. Tuttavia, l’utente ha ammesso di aver raccolto 49 milioni di record prima di contattare l’azienda.
La debolezza delle API, prive di autenticazione specifica
Le API facili da accedere, senza quindi una autenticazione specifica, sono diventate un enorme debolezza per le aziende negli ultimi anni, con attori malevoli che ne abusano per estrarre dati sensibili e venderli ad altri gruppi criminali.
Nel 2021, sono state abusate di un bug le API di Facebook per collegare numeri di telefono a oltre 500 milioni di account. Questi dati sono stati diffusi quasi gratuitamente su un forum di hacking, richiedendo solo un account e il pagamento di $2 per scaricarlo.
Più tardi quell’anno, a dicembre, gli utenti malevoli hanno sfruttato un bug API di Twitter per collegare milioni di numeri di telefono e indirizzi email agli account Twitter, che sono stati poi venduti su forum di hacking.
Lo scorso anno, invece, una falla nelle API di Trello è stata sfruttata per collegare un indirizzo email a 15 milioni di account che sono stati, ancora una volta, messi in vendita su un forum di hacking. I dati sono stati successivamente condivisi con Have I Been Pwned per inviare notifiche a coloro che sono stati esposti alla violazione.
Sebbene tutti questi incidenti abbiano coinvolto l’estrazione di dati, sono stati consentiti a causa della facilità di accesso alle API e della mancanza di limitazione adeguata del tasso di richieste che possono essere fatte al secondo dallo stesso host.
