Yandex, il gigante considerato il “Google russo”, ha subito un attacco informatico che ha messo in luce i rischi legati ai session replay script per gli utenti e le aziende: un incidente di sicurezza che ha ricordato a tutti che ci vogliono vent’anni per costruire una reputazione e pochi minuti per distruggerla.
Indice degli argomenti
Session replay scripts: l’attacco a Yandex
Il conflitto tra Russia e Ucraina si combatte su due fronti: uno visibile a tutti e l’altro invisibile alla maggioranza, ovvero quello della sicurezza informatica. Di recente si è appreso che Yandex ha subito un data breach: secondo alcune fonti, sono stati trapelati 44 GB di dati appartenenti al colosso, utilizzato da moltissimi siti web per i suoi servizi di session replay, strumenti di marketing utili per utilizzare i dati raccolti.
Yandex è un servizio molto utilizzato dai siti web visitati quotidianamente da milioni di utenti, che raccoglie e conserva una vasta gamma di informazioni: sensibili (nome, età, telefono, credenziali di iscrizione dell’account), dati elettronici (indirizzo IP, cookie, dati ID browser, informazioni su hardware e software installati, dati di rete Wi-Fi), dati delle carte di pagamento, dati di geolocalizzazione e altre informazioni personali necessarie per l’elaborazione in conformità con i termini che regolano l’uso di specifici siti o servizi Yandex.
Solo nel corso dell’ultimo anno, Ermes ha bloccato circa 500.000 connessioni verso Yandex: i sistemi dell’azienda hanno inibito le connessioni verso il colosso tecnologico su siti di shopping online come Alibaba e Aliexpress, su siti di giornali online, su siti di realtà commerciali come Piquadro e Crai Supermercati, su siti sindacali come FLC CGIL e su siti che forniscono utility, come video-to-mp3-converter.com.
Oltre a Yandex, gli attaccanti anno prestato molta “attenzione” al caso Kaspersky, ma in realtà questo è solo la punta dell’iceberg, senza valutare l’intrusività e la pervasività di altri servizi che potenzialmente possono recare parecchi danni.
L’auspicio è dunque che ora l’attenzione e la capacità di analisi aumentino, intraprendendo un sano percorso di indipendenza tecnologica. Gli attacchi informatici sono sempre più mirati ed è facile per un cyber criminale trarre in inganno un utente e farsi consegnare le chiavi per aprire la porta di casa.
Come funzionano i session replay script
I session replay script sono venduti come “Software as a Service” (SaaS) e sono degli script solitamente inseriti nel codice di un sito web per registrare informazioni specifiche riguardanti l’interazione dell’utente con la pagina.
Lo script registra le sequenze di tasti digitati, i clic del mouse, lo scorrimento della pagina, e altro ancora. In alcuni casi, viene registrata l’intera pagina web, inclusi i dati inseriti dall’utente nei form o nei questionari.
Tutte le interazioni dell’utente con la pagina vengono registrate per fornire informazioni dettagliate utili a misurare l’efficacia della pagina dal punto di vista funzionale e della presentazione dei contenuti.
Queste informazioni vengono inviate ai server del fornitore dello script, che le collezionano e conservano per presentare al web master (cioè chi sviluppa o mantiene il sito) i risultati dell’analisi dei dati.
Per gestire e configurare questo strumento, sono necessarie competenze elevate e un grosso investimento di tempo per la manutenzione, al fine di assicurarsi che vengano raccolte solo le informazioni attese e che i dati sensibili siano protetti.
Tuttavia, a causa della natura dei servizi, ciò avviene raramente, poiché i servizi di replay vengono venduti come “plug & play” e vengono spesso caricati dai web master senza assicurarsi che la privacy degli utenti sia preservata.
Il Ponemon Institute, sponsorizzato da IBM, ha pubblicato nel 2019 una ricerca sul costo delle violazioni dei dati, che ha rivelato che il 29,6% delle aziende digitali subisce una violazione dei dati ogni due anni.
Gli attaccanti preferiscono attaccare le difese perimetrali per recuperare dati personali, ma spesso scelgono di attaccare un’ampia quantità di utenti per ottenere informazioni sensibili come identità digitali complete, dati finanziari e condizioni mediche.
I rischi per utenti e aziende italiane
Anche se si configura correttamente, lo strumento di session replay utilizza script ospitati su servizi esterni, aprendo la possibilità di subire un “supply chain attack”.
Ciò comporta rischi sia per le persone, come frodi e truffe, sia per le aziende, come attacchi di social engineering e accessi non autorizzati alla rete aziendale.
In particolare, Internet Explorer è particolarmente esposto, anche se Microsoft ha annunciato la fine del supporto già a giugno 2022. Chrome non fornisce alcuna protezione dal tracciamento, ma nessun altro browser significativo, inclusi Safari, garantisce una protezione sufficiente anche con le funzioni di tracking protection attivate.
Infine, la modalità di navigazione in incognito non inibisce alcun tipo di web tracker.
Dunque, è importante tenere sempre alta la guardia e rimanere alla larga da servizi online che non siano certificati e attendibili.
