Il Garante francese per la protezione dei dati personali ha sanzionato un titolare e il suo responsabile per un totale di € 225.000,00 per non aver adottato adeguate misure di sicurezza atte a impedire attacchi di credential stuffing. L’Autorità ha altresì pubblicato una pagina informativa con utili indicazioni per difendersi da questa tipologia di attacco informatico.
Il Garante per la protezione dei dati francese (Commission Nationale de l’Informatique et des Libertés o CNIL) ha recentemente sanzionato un titolare del trattamento e il suo responsabile per non aver adottato adeguate misure di sicurezza atte a impedire attacchi di credential stuffing sul sito web del titolare.
Il caso
Le verifiche sono scattate allorché in un arco temporale di due anni (giugno 2018 – gennaio 2020), l’Autorità ha ricevuto numerose notifiche di violazioni dei dati personali in relazione a un sito web sul quale diversi milioni di clienti effettuano i loro acquisti. Tali controlli hanno condotto alla scoperta che il sito aveva subito diverse ondate di attacchi di credential stuffing facendo sì che gli attaccanti potessero venire a conoscenza di numerosi dati di clienti. Tra questi: nome, cognome, indirizzo email, data di nascita, numero e saldo della loro carta fedeltà unitamente alle informazioni dei loro ordini.
Cosa si intende per credential stuffing?
Un attacco informatico di credential stuffing consiste nel furto di credenziali di accesso (username e password) di un utente per l’accesso a un portale o a un servizio web e nel riutilizzo su altri siti.
Solitamente tale attacco si basa sull’utilizzo di liste di credenziali pubblicate in chiaro sul web a seguito di data breach. Alla base di tale tipologia di attacco vi è la cattiva abitudine degli utenti di utilizzare sempre le stesse credenziali per accedere a diversi siti, creando terreno fertile per gli hackers che riescono a sfruttare la pigrizia degli utenti. Di solito la procedura viene automatizzata ricorrendo a dei bot che compilano automaticamente con le credenziali a disposizione i vari campi di login dei siti web.
La decisione del Garante francese
L’Autorità ha comminato due sanzioni distinte il cui ammontare è di € 150.000,00 per il titolare e di € 75.000,00 per il responsabile. Sebbene i provvedimenti non siano stati resi pubblici, la CNIL ha deciso di rendere pubblica la notizia al fine di aumentare la consapevolezza dei soggetti coinvolti nel trattamento dei dati personali per consentire lo sviluppo di misure sufficienti a garantire la protezione dei dati stessi.
Nel breve comunicato, l’Autorità ha precisato che la decisione di comminare due sanzioni distinte, una nei confronti del titolare e una nei confronti del suo responsabile del trattamento, è legata alle loro rispettive responsabilità. Secondo la Commissione infatti sebbene sia il titolare a definire e a impartire le istruzioni al responsabile, quest’ultimo deve a sua volta adottare misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e a sottoporle all’attenzione del titolare.
Nel caso concreto, il titolare e il responsabile non hanno adottato misure efficaci a contrastare i ripetuti attacchi concentrandosi unicamente nello sviluppo di uno strumento in grado di intercettare e bloccare attacchi partiti da robot. L’Autorità ha fatto presente che lo sviluppo del tool ha impiegato un anno e che in quel lasso di tempo avrebbero potuto essere adottate altre misure come:
- l’inserimento di un CAPTCHA, che è più difficilmente aggirabile da un robot;
- la limitazione del numero di richieste per indirizzo IP sul sito web per rallentare la velocità con cui venivano eseguiti gli attacchi.
Come difendersi dal credential stuffing?
Al fine di aumentare la consapevolezza sui particolari rischi derivanti da tale tipologia di attacco informatico, il Garante francese ha pubblicato una pagina informativa in cui illustra in quattro passaggi come proteggersi dal credential stuffing e quali attività compiere nel momento in cui si subisce un attacco di questo tipo.
- In primo luogo, comprendere l’origine dell’origine dell’attacco e limitarne gli effetti negativi partendo dall’esame dei file di log per individuare le cause attivando contestualmente tutti i soggetti che dovranno cooperare nella gestione dell’incidente.
- In secondo luogo, informare gli utenti di sostituire tempestivamente la password sul sito oggetto di attacco e su tutti gli altri siti sui quali l’utente utilizza le medesime credenziali e di bloccare le carte di credito per rendere inutilizzabili i dati ivi contenuti.
- Procedere con la registrazione dell’incidente e con la comunicazione all’Autorità di controllo entro 72 ore ai sensi dell’art. 33 GDPR.
- Infine, prevenire futuri attacchi attraverso l’utilizzo di un CAPTCHA, oppure prevedendo un’autenticazione con user e password dove lo user non sia costituito dall’indirizzo di posta elettronica, o ancora implementando l’utilizzo di una connessione a due fattori tramite l’invio di un codice tramite sms per consentire l’accesso alla propria area riservata dopo l’autenticazione con user e password.
Tra le misure di prevenzione, ulteriori rispetto a quelle consigliate dall’Autorità francese, si collocano sicuramente l’utilizzo di password complesse e differenti per i diversi account sui siti web, la creazione di una blacklist per bloccare gli indirizzi IP sospetti o ancora l’utilizzo della crittografia SSL in modo da rendere il sito sicuro. Come noto, già da diversi anni Google etichetta come “non sicuri” i siti che non utilizzano certificati sicuri facendo comparire nella barra degli indirizzi un triangolo rosso, a differenza dei siti “sicuri” per i quali compare un lucchetto di colore verde.
