fbpx
Email: max@maxvalle.it Numero Verde: 800-180.440

Dati rubati? CloudFlare è stato hackerato!

Proteggere i propri dati

Dati rubati? Fate molta attenzione! Potreste aver subito il furto dei dati.

Perchè sono così preoccupato?
Perchè una delle società più grandi al mondo di sicurezza informatica è stata hackerata.
Questa società è utilizzata da moltissimi servizi web che utilizziamo ogni giorno, da banche, da multinazionali, da applicazioni cellulari e, spesso, anche piccoli utenti di siti web che hanno affidato a Cloudflare la protezione dei propri siti.

CloudFlare content delivery network
CloudFlare content delivery network

Cloudflare offre un servizio di CDN (Content Delivery Network) che permette di proteggere, velocizzare e distribuire i contenuti dei siti web.

A quanto risulta, la piattaforma di questa società era affetta, da molti mesi, di diverse falle di sicurezza che hanno permesso il furto di password, contenuti dei siti e dati.

Cloudflare dichiara di gestire circa 5.000.000 (5 milioni!) di siti web.

Stiamo parlando dunque di miliardi di dati, di account e di siti internet rubati.

I dati rubati includono password, cronologia di navigazione, prenotazione di hotel, indirizzi IP, intere conversazioni private e contenuti di siti web.

La falla è stata rilevata nel sistema di OpenSSL (certificati SSL gratuiti) che l’ azienda utilizza, che ha permesso all’attaccante di penetrare nel canale crittografato creato dal certificato SSL e di porre in essere un attacco di tipo “Men on the middle” che ha permesso di prelevare tutti i dati che transitavano.

Inoltre, si legge, che altri servizi di CloudFare sono stati oggetto di attacco quali:

Il problema è che tale attacco è stato scoperto con molti mesi di ritardo, portando di fatto la una mole dati prelevata a molti miliardi di dati.

Cito, solo ad esempio, alcuni siti che sono stati colpiti dal problema:

Uber (trasporto automobilistico privato)
FitBit (software di tacking di attività fisica), di cui io stesso sono utente.
1Password (noto software di salvataggio password)

La stessa Google usa in parte i servizi di Cloudflare.
Qui puoi trovare una lista, in continuo aggiornamento, dei siti web colpiti (https://github.com/pirate/sites-using-cloudflare/blob/master/README.md).

Potenzialmente ogni sito, gestito da Cloudflare potrebbe essere stato oggetto del problema.

Vediamo ora come comportarsi nei due principali casi:

– Tu sia un utilizzatore di Cloudflare con i tuoi siti
– Tu sia un utente di un sito hackerato ospitato su Cloudflare

Qualora tu sia tra gli utilizzatori di Cloudflare dovresti porre in essere questi due punti:

–  Avvisare immediatamente i tuoi utenti (questo è un obbligo legale a cui non puoi sottrarti!)
–  Porre in essere tutte le azioni per rimediare al problema.

Per il primo punto, invia immediatamente un informativa, avvisando i tuoi utenti del problema subito, ed invitali a cambiare le loro credenziali con altre sicure.

Per il tuo sito web, ospitato su Cloudfare ti suggerisco:

– qualora si creato su piattaforma WordPress cambia  immediatamente queste informazioni nel file wp-config.php

Cloudflare hackerato

inoltre ti suggerisco questi 5 punti da adottare subito:

1 ) Abilita criteri di autenticazione forti per i tuoi siti.
Non utilizzare solo l’ autenticazione nome utente e password, aggiungi anche una doppia autenticazione (SMS, EMAIL)

2 ) Installa immediatamente un certificato SSL (non gratuito mi raccomando!), se non sai di cosa si tratta, ti suggerisco
di leggere questa mia pagina https://certificatowordpress.com/

3 ) Cambia tutte le tue credenziali. Quando dico tutte, intendo tutte.
La gran parte delle persone che conosco utilizza delle password semplici da ricordare per tutti i loro servizi, comprensivo l’ accesso al proprio sito web. Una password semplice è facile da prelevare (leggi il mio articolo in merito), ma se in questo caso è tra le password rubate, hai in pericolo ogni altro servizio che utilizzi questa password!
Chiaro il concetto?

4 ) Cerca di porre attenzione al tuo smartphone. Se esso ha utilizzato o utilizza APP di qualche azienda ospitata su CloudFlare, potrebbe essere a rischio! Ti consiglio di monitorare con attenzione le attività del tuo smartphone. Se noti che rallenta o che utilizza applicazioni che non hai aperto tu, vuol dire che hai un problema di sicurezza e che i tuoi dati potrebbero essere a rischio.

5 ) Non aprire MAI link sconosciuti che ti dovessero giungere via SMS o via email.
Dopo questo attacco sarà più probabile che ti giungano delle email o degli SMS che ti chiedano di aprire un link per la verifica dei tuoi dati (tecnica di Phishing). Non lo fare!

Nonostante questo episodio, considero CloudFlare una delle migliori società mondiali di CDN.

Se non sai come proteggerti, o come poter installare una CDN sul tuo sito contattami .

About the author

Massimiliano Vallefuoco, chiamato comunemente Max Valle, Internet Business Specialist per le aziende e le start-up

Leave a Reply

GDPR

  • Gdpr Privacy

Gdpr Privacy

Privacy Policy di It’s Genius Srl

It’s Genius srl

Via Fratelli Cervi 32
20060 Colturano (MI)
Tel: 800180440 – Fax: 0270057017
P.IVA 08770720962

Informativa sul trattamento dei dati personali ex artt. 13-14 Reg.to UE 2016/679

Soggetti Interessati: navigatori Sito Internet.

It’s Genius srl nella qualità di Titolare del trattamento dei Suoi dati personali, ai sensi e per gli effetti del Reg.to UE 2016/679 di seguito ‘GDPR’, con la presente La informa che la citata normativa prevede la tutela degli interessati rispetto al trattamento dei dati personali e che tale trattamento sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.

I Suoi dati personali verranno trattati in accordo alle disposizioni legislative della normativa sopra richiamata e degli obblighi di riservatezza ivi previsti.

Finalità e base giuridica del trattamento: in particolare i Suoi dati saranno utilizzati per le seguenti finalità relative all’esecuzione di misure connesse ad obblighi contrattuali o pre-contrattuali:

  • accesso tecnico e Funzionale al Sito nessun dato viene tenuto dopo la chiusura del Browser;
  • assistenza post-vendita;
  • finalità di navigazione Evoluta o gestione dei contenuti personalizzata;
  • finalità Statistica e di Analisi della navigazione e degli utenti;
  • gestione della clientela;
  • rilevazione del grado di soddisfazione della clientela;
  • storico ordini forniture;
  • strumenti di pagamento elettronico.

I Suoi dati personali potranno inoltre, previo suo consenso, essere utilizzati per le seguenti finalità:

  • finalità di Marketing e Pubblicità;
  • invio di informazioni commerciali via e-mail o sms.;
  • eventualmente per soddisfare indagini di mercato, statistiche e per attività promozionali inerenti anche alla spedizione di materiale pubblicitario e promozionale.

Il conferimento dei dati è per Lei facoltativo riguardo alle sopraindicate finalità, ed un suo eventuale rifiuto al trattamento non compromette la prosecuzione del rapporto o la congruità del trattamento stesso.

Modalità del trattamento. I suoi dati personali potranno essere trattati nei seguenti modi:

  • a mezzo calcolatori elettronici con utilizzo di sistemi software gestiti da Terzi;
  • raccolta di dati per via informatica o telematica.;
  • trattamento manuale a mezzo di archivi cartacei.

Ogni trattamento avviene nel rispetto delle modalità di cui agli artt. 6, 32 del GDPR e mediante l’adozione delle adeguate misure di sicurezza previste.

Comunicazione : i suoi dati saranno comunicati esclusivamente a soggetti competenti e debitamente nominati per l’espletamento dei servizi necessari ad una corretta gestione del rapporto, con garanzia di tutela dei diritti dell’interessato.

I suoi dati saranno trattati unicamente da personale espressamente autorizzato dal Titolare ed, in particolare, dalle seguenti categorie di addetti:

  • Customer Service;
  • programmatori e Analisti;
  • ufficio Amministrazione;
  • ufficio Marketing.

I suoi dati potranno essere comunicati a terzi debitamente nominati Responsabili al trattamento, in particolare a:

  • Active Campaign;
  • Facebook Connect: Servizio pubblicitario, Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti;
  • Facebook Custom Audience: Servizio pubblicitario, Target pubblicitario, Personalizzazione dei contenuti;
  • Facebook Social Plugins: Servizio pubblicitario, Target pubblicitario, Personalizzazione dei contenuti;
  • Facebook: Servizio pubblicitario, Target pubblicitario, Personalizzazione dei contenuti;
  • Google Analytics: Target pubblicitario, Analitica/Misurazione, Ottimizzazione;
  • Google Display Network: Servizio pubblicitario, Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti, Ottimizzazione;
  • Google Plus: Servizio pubblicitario, Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti, Ottimizzazione;
  • Google Tag Manager: Analitica/Misurazione, Personalizzazione dei contenuti, Ottimizzazione;
  • Google Translate: Servizio pubblicitario, Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti, Ottimizzazione;
  • Google: Servizio pubblicitario, Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti, Ottimizzazione;
  • LinkedIn: Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti;
  • Software di Marketing Online;
  • Twitter: Target pubblicitario, Analitica/Misurazione, Personalizzazione dei contenuti.

Diffusione: I suoi dati personali non verranno diffusi in alcun modo.

I suoi dati personali potranno inoltre essere trasferiti, limitatamente alle finalità sopra riportate, nei seguenti stati:

  • paesi UE;
  • Regno unito;
  • Stati Uniti.

Periodo di Conservazione. Le segnaliamo che, nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, ai sensi dell’art. 5 del GDPR, il periodo di conservazione dei Suoi dati personali è:

  • stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati per l’esecuzione e l’espletamento delle finalità contrattuali;
  • stabilito per un arco di tempo non superiore all’espletamento dei servizi erogati;
  • stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati e nel rispetto dei tempi obbligatori prescritti dalla legge.

Gestione dei cookie: nel caso in cui Lei abbia dubbi o preoccupazioni in merito all’utilizzo dei cookie Le è sempre possibile intervenire per impedirne l’impostazione e la lettura, ad esempio modificando le impostazioni sulla privacy all’interno del Suo browser al fine di bloccarne determinati tipi.

Poiché ciascun browser – e spesso diverse versioni dello stesso browser – differiscono anche sensibilmente le une dalle altre se preferisce agire autonomamente mediante le preferenze del Suo browser può trovare informazioni dettagliate sulla procedura necessaria nella guida del Suo browser. Per una panoramica delle modalità di azione per i browser più comuni, può visitare l’indirizzo www.cookiepedia.co.uk.

Le società pubblicitarie consentono inoltre di rinunciare alla ricezione di annunci mirati, se lo si desidera. Ciò non impedisce l’impostazione dei cookie, ma interrompe l’utilizzo e la raccolta di alcuni dati da parte di tali società.

Per maggiori informazioni e possibilità di rinuncia, visitare l’indirizzo www.youronlinechoices.eu/.

Titolare: il Titolare del trattamento dei dati, ai sensi della Legge, è It’s Genius srl (Via Fratelli Cervi 32 , 20060 Colturano (MI); e-mail: privacy@itsgenius.it; telefono: 800180440; P.Iva: 08770720962) nella persona del suo legale rappresentante pro tempore.

Lei ha diritto di ottenere dal titolare la cancellazione (diritto all’oblio), la limitazione, l’aggiornamento, la rettificazione, la portabilità, l’opposizione al trattamento dei dati personali che La riguardano, nonché in generale può esercitare tutti i diritti previsti dagli artt. 15, 16, 17, 18, 19, 20, 21, 22 del GDPR.

Reg.to UE 2016/679: Artt. 15, 16, 17, 18, 19, 20, 21, 22 – Diritti dell’Interessato

1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L’interessato ha diritto di ottenere l’indicazione:

  1. dell’origine dei dati personali;
  2. delle finalità e modalità del trattamento;
  3. della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
  4. degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
  5. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’interessato ha diritto di ottenere:

  1. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
  2. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
  3. l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
  4. la portabilità dei dati.

4. L’interessato ha diritto di opporsi, in tutto o in parte:

  1. per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
  2. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Colturano, 25 Maggio 2018 – codice Documento 11548.51.353379.1049072   GMT