Team MailSniper
Autore
Sai quando affidi le chiavi di casa al tuo idraulico di fiducia?
Lo conosci da anni, ha la sua ditta, il furgone con la scritta ben visibile. Gli dai le chiavi per sistemare un tubo mentre sei al lavoro, perché fidarsi è normale quando si tratta di professionisti seri.
Ora immagina di scoprire che qualcuno ha clonato quelle chiavi.
Non per entrare in casa dell'idraulico, ma per entrare nelle case di tutti i suoi clienti. Centinaia di appartamenti. E tu sei uno di quei clienti, senza neanche saperlo.
Questo è più o meno quello che sta succedendo con TeamPCP, la campagna di attacco alla supply chain che ha appena raggiunto un nuovo livello di preoccupazione. Il CERT-EU ha confermato che anche il cloud della Commissione Europea è stato compromesso. Mandiant parla di oltre 1000 ambienti SaaS colpiti. E Sportradar, un gigante dei dati sportivi, è finito nel mirino.
Non stanno bussando alla porta principale della tua azienda. Stanno entrando dalla porta di servizio di chi ti serve ogni giorno.
Pensa al software che usi per la fatturazione. O quello per gestire i clienti. O la piattaforma dove archivi i documenti dell'ufficio.
Sono tutti servizi SaaS: software che non girano sul tuo computer, ma su server di qualcun altro, accessibili via internet. Comodi, economici, sempre aggiornati.
TeamPCP ha capito che invece di attaccare singole aziende — un lavoro lungo e faticoso — è più redditizio attaccare chi serve migliaia di aziende contemporaneamente. È come rapinare la banca invece di scassinare i singoli portafogli.
Questo "Update 006" non è un semplice aggiornamento di routine. È la conferma che la strategia sta funzionando: i criminali sono riusciti a insinuarsi nei sistemi cloud di provider usati da enti governativi e grandi corporation, e da lì hanno accesso a una miniera di dati sensibili.
La metafora del falegname aiuta a capire. Immagina di aver commissionato un mobile su misura. Il falegname ha una chiave master che apre il laboratorio dove tiene i progetti di tutti i clienti. Se qualcuno ruba quella chiave, non ha solo il tuo mobile: ha i progetti di tutti.
Nel mondo digitale, questa "chiave master" sono le credenziali di accesso ai pannelli di amministrazione, le API che collegano i sistemi, i token di autenticazione che i software usano per parlarsi tra loro. E una volta dentro, i ladri digitali possono muoversi lateralmente, copiare dati, installare backdoor, o semplicemente aspettare il momento buono per colpire.
"Ma io ho uno studio di commercialisti con dieci dipendenti, mica il governo", starai pensando.
Ecco il punto: non importa quanto sei piccolo. Se usi un software SaaS — e quasi certamente lo usi, anche solo per la posta elettrica professionale o per archiviare le fatture — i tuoi dati sono in una cassaforte condivisa con altri migliaia di utenti.
Se quel servizio viene compromesso, i tuoi dati vengono presi. Punto. Non perché sei stato negligente, ma perché qualcuno ha forzato la cassaforte del tuo "falegname digitale".
Pensaci: quanto valgono i tuoi listini prezzi se finiscono in mano alla concorrenza? Quanto costa scoprire che i dati dei tuoi clienti — nomi, indirizzi, fatturati — sono stati esfiltrati e messi in vendita sul dark web?
Non stiamo parlando di perdite astratte. Stiamo parlando di multe GDPR che partono da migliaia di euro, di reputazione aziendale che va in frantumi, di notti insonni a spiegare ai clienti che "non è colpa nostra, ma del fornitore".
Ecco perché il caso Sportradar è emblematico. Non è un'azienda qualsiasi: gestisce dati sensibili per innumerevoli partner sportivi. Se loro vengono colpiti, la ricaduta si propaga a cascata su tutta la filiera.
Non devi smettere di usare il cloud. Sarebbe come tornare a scrivere le fatture a mano perché il computer potrebbe rompersi. Ma devi smettere di fidarti ciecamente.
Prendi un foglio di carta — sì, proprio carta e penna — e scrivi: quali software SaaS usiamo davvero? Quanti sono? Chi li gestisce?
Spesso le PMI scoprono di avere una dozzina di abbonamenti attivi, alcuni nemmeno più usati, con account ancora aperti e dati che galleggiano nel limbo. Chiudi quelli che non servono. Ogni servizio attivo è una potenziale porta di servizio.
Quando rinnovi il contratto con il tuo provider di software, chiedi: "Come proteggete i vostri sistemi da attacchi supply chain? Avete una policy di disclosure in caso di breach?"
Non devi diventare un esperto di cybersecurity. Devi solo capire se dall'altra parte hanno un piano o se alzano le spalle. Se alzano le spalle, forse è ora di cambiare fornitore.
Non concentrare tutto su un unico provider. Se usi lo stesso servizio per email, archiviazione documenti e gestione clienti, un singolo attacco ti blocca tutto.
Tieni backup indipendenti dei dati critici. Non solo nel cloud, ma anche in locale o su un servizio diverso. È come avere una copia delle chiavi di casa da un'altra parte, nel caso il tuo idraulico perda le sue.
Molti servizi SaaS offrono log di accesso e alert automatici. Attivali. Se vedi che alle 3 di notte qualcuno ha scaricato 10.000 file, devi saperlo subito, non tra tre mesi.
Non serve un sistema complesso. Anche una semplice notifica email che ti avvisa di accessi da Paesi insoliti può fare la differenza tra bloccare un attacco e scoprirlo quando ormai è troppo tardi.
Guarda, nessuno ti chiede di diventare paranoico e controllare ogni mattina se il tuo software di fatturazione è stato hackerato. La vita è troppo breve per viverla nell'ansia.
Ma questa storia di TeamPCP ci ricorda una cosa fondamentale: la sicurezza non è più solo una questione di "proteggere il mio computer". È una questione di fiducia distribuita. Ogni volta che affidi i tuoi dati a un servizio cloud, stai dando le chiavi di casa a qualcuno.
Scegli bene a chi darle. Chiedi referenze. Leggi i termini di servizio (anche solo quelli sulla sicurezza). E soprattutto, non mettere mai tutto in un solo cassetto, per quanto sicuro ti sembri.
Se vuoi capire meglio come valutare la sicurezza dei tuoi fornitori, dai un'occhiata alle nostre domande frequenti o scopri come funziona una protezione pensata per chi non può permettersi di essere la prossima vittima della supply chain.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoTi è mai capitato di ricevere una richiesta di amicizia da qualcuno che non conosci su Facebook? Potrebbe essere un hacker nordcoreano. Il gruppo APT37 sta usando i social media per avvicinare le vittime e installare il malware RokRAT. Te lo spiego come fossimo al bar.
LeggiUn allegato PowerPoint, un caffè freddo sulla scrivania, e una backdoor che apre le portre ai servizi segreti russi. APT28 colpisce ancora con PRISMEX, un malware invisibile che ha bucato le difese di governi e contractor della difesa. Ecco il racconto di come funziona davvero un attacco di spionaggio cyber.
LeggiGli attacchi alla supply chain come TeamPCP hanno rubato codice sorgente da Cisco. Ma il vero problema per le PMI italiane? Non è la notizia in sé - è che il 73% delle aziende non sa di essere esposta. E il costo medio di un breach supera i 150.000 euro.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.