Studio legale Jones Day, cosa contengono i dati rubati nel data breach Accellion?

Jones Day
E’ la domanda che tutti si pongono dopo ogni attacco informatico soprattutto ai danni di aziende importanti. Quale tipo di dati hanno rubato gli hacker? 
Le domande, i dubbi e le paure aumentano in tutti quei casi in cui ognuno di noi ha, o ha avuto in passato, un rapporto con quell’entità colpita.

E’ il caso di Jones Day, uno fra i più importanti studi legali negli Stati Uniti con sedi in tutto il mondo, che risulta essere, per riflesso, una delle tante aziende colpite dall’Accellion data breach (una società con sede a Palo Alto, California, di soluzioni cloud con servizi per il trasferimento di file -FTA-) messo a segno dal gruppo ransomware CL0P tra la fine di dicembre dello scorso anno e gennaio 2021.

Da settimane DataBreaches.net ci sta illustrando, con puntuali dettagli, cosa è successo allo studio legale di Cleveland e quali sono stati i dati esfiltrati durante l’attacco informatico. CL0P durante l’attacco è riuscito a scaricare dai server Accellion una enorme quantità di dati di proprietà di Jones Day, fra il materiale sottratto anche cartelle cliniche di diversi pazienti di un medico che, al momento, non si capisce quale tipo di rapporto ha, o abbia avuto, con lo studio legale così come ci spiega Dissent (@PogoWasRight) in questo articolo pubblicato su DataBreaches.net

Dissent scrive

Some of the files in the Jones Day data dump that DataBreaches.net examined are spread sheets with details on prescriptions issued by a named physician in Florida.

It took only minutes of searching on Google to learn that this physician had been the subject of a disciplinary action by the state. As a result of a complaint related to prescribing practices and the death of a patient, the state had restricted the physician’s license to practice medicine and imposed some conditions. Those conditions include a permanent restriction barring him from prescribing any Schedule I – Schedule IV controlled substances, and a requirement that he practice with indirect supervision/monitoring, presumably including access to his records and logs.

Capiamo quindi quanto sia delicato affidare i propri dati personali nelle mani di persone terze, soprattutto quando, ormai da diversi anni, i file vengono salvati all’interno di database che risiedono su server spesso protetti o configurati male. Dati che potenzialmente potrebbero essere sottratti da un hacker in qualsiasi momento.

Nella maggior parte degli attacchi informatici che ho seguito, la problematica è la stessa che si ripete all’infinito. Poche risorse aziendali dedicate alla sicurezza IT, mancato addestramento del personale per contrastare, ad esempio, il fenomeno del phishing, che è uno dei principali vettori di infezione delle reti aziendali.

Una cattiva gestione della rete aziendale da parte del personale IT dedicato che, in molti casi, risulta non essere all’altezza del compito. E infine, non meno importante, la mancata manutenzione preventiva sui software e sulle macchine utilizzate nei luoghi di lavoro. In questi casi spesso vediamo sistemi operativi e software non aggiornati alle ultime release o prive di patch.

Questo è esattamente ciò che è successo alla Accellion e per riflesso a tutte le aziende colpite da CL0P, Jones Day compresa. L’azienda di Palo Alto ha l’enorme colpa di non aver protetto i propri server cloud da attacchi esterni, e di aver continuato a fornire un software per il trasferimento di dati (Accellion FTA Transition) obsoleto e pieno di vulnerabilità anche note.

Per togliersi dalle proprie responsabilità non basta pubblicizzare un nuovo prodotto più sicuro (Enterprise Content Firewall), descrivendo Accellion FTA Transition (quello in uso in tutte le aziende colpite dal furto di dati) un software che

“aiuta le aziende di tutto il mondo come la tua a trasferire file di grandi dimensioni e sensibili in modo sicuro utilizzando un cloud privato al 100%, in sede o in hosting…“.

E poi aggiungere che

“… nel mondo di oggi, pieno di violazioni e sovraregolamentato, hai bisogno di protezione e controllo ancora più ampi. Proteggi tutta la condivisione di file esterni, indipendentemente dalla fonte, dal dispositivo o dalla posizione, con la governance e la sicurezza leader del settore della nuova piattaforma di Accellion”.

Accellion non avrebbe dovuto più fornire assistenza alle aziende per un prodotto non sicuro, avrebbe dovuto “obbligarle” fin da subito verso la migrazione al nuovo software.

Grande colpa hanno anche le aziende che avrebbero dovuto dismettere un software vecchio e non più implementato e, come ho già spiegato, pieno di vulnerabilità alcune delle quali definite critiche. Una colpa da imputare solamente alla pessima gestione della stragrande maggioranza delle aziende di ogni settore. Quando si tratta di investire in settori che le aziende ritengono, a torto, non produttivi non c’è nulla che può fargli cambiare opinione. No, anzi credo che da oggi tutte le aziende colpite da questo furto di dati, indipendentemente da cosa contenessero, faranno ammenda… almeno me lo auguro.

Nei dati esfiltrati dal gruppo ransomware CL0P ci sono anche riferimenti alla filiale Jones Day di Milano, da quello che DataBreaches.net ha fatto sapere a Suspectfile, nei dati che il gruppo ransomware CL0P ha esfiltrato non risulterebbero, per il momento,  documenti compromettenti o comunque da considerare di dominio pubblico. Anche se ricordo che il totale dei dati sottratti dal gruppo ransomware era di circa 100 GB.

Invito a leggere tutti gli articoli scritti da Dissent su questo caso e che riporto più sotto, solo in questo modo avrete una corretta cronistoria degli eventi che hanno caratterizzato, e continueranno a caratterizzare per settimane questo caso molto, molto intricato che sono sicuro ci porterà nuove sorprese. 

  1. Unemployment fraud in one state and a breach while investigating unemployment fraud in another state
  2. Goodwin says vendor breach may have exposed client data (updated)
  3. RBNZ says partner Accellion kept it in the dark about data breach
  4. University of Colorado responds to Accellion breach
  5. Singtel hit by Accellion security breach, customer data may be leaked
  6. Jones Day disputes claimed breach; points to hacked vendor; hacker points back to them (UPDATE2)
  7. Accellion’s data breach left clients in tough position: pay extortion to criminals, or have their data dumped
  8. Kroger reports Accellion data breach affecting pharmacy records, associate HR data
  9. FireEye and Accellion provide more details on attack
  10. Transport for NSW confirms data taken in Accellion breach
  11. CLOP adds more firms to their leak site — but are they all Accellion clients? (UPDATED)
  12. Fears grow data hacked from Reserve Bank may be leaked by CLOP
  13. CISA Releases Joint Cybersecurity Advisory on Exploitation of Accellion File Transfer Appliance
  14. The Jones Day dump contains prescription drug records. Who’s notifying those patients of the breach?

Ho scritto una email allo studio legale di Milano chiedendo una dichiarazione in merito. L’articolo verrà aggiornato in caso di nuovi dettagli.

Fonte: DataBreaches.net