Supponiamo che…
Le violazioni delle password statiche che non sono (ancora) accadute. Cosa accadrebbe se un falso profit warning generasse caos al NASDAQ?
di Redazione Soldionline 14 mag 2013 ore 10:35
Articolo a cura Di Jochem Binst, Direttore Comunicazione Corporate & Public Affairs di VASCO Data Security
Gli ultimi 12 mesi hanno mostrato un’intensa attività sul fronte del crimine informatico. Il numero di violazioni, che ha colpito migliaia di user account, è stato sorprendentemente alto. Social network come Facebook e Twitter (oltre 1 miliardo di utenti attivi), servizi come Evernote e Dropbox (34 milioni e 100 milioni di utenti rispettivamente), ma anche multinazionali come Apple non sono immuni da attacchi di hacker.
VASCO Data Security, leader mondiale nella strong authentication, ha ipotizzato cosa potrebbe succedere se un falso profit warning generasse caos al NASDAQ.
Uno scenario possibile
Quindici minuti prima dell’apertura del NASDAQ, un falso profit warning presumibilmente proveniente dalla Società quotata “X” fa il giro delle agenzie. Nei primi minuti successivi all’apertura del mercato i titoli della società subiscono una batosta di non meno del 18%. L'azienda definisce immediatamente un messaggio per confutare le affermazioni del falso profit warning. Il messaggio viene diffuso dalle agenzie 20 minuti dopo. Entro quel lasso di tempo, il danno è fatto. Gli investitori svendono massicciamente le azioni della società. In 20 minuti di tempo, il triplo del volume di scambi giornalieri delle azioni di “X” è stato oggetto di dumping. Il NASDAQ sospende lo scambio di azioni di “X” per il resto della giornata.
Che cosa è successo?
Il pc di un membro del dipartimento Corporate Communications della società è stato infettato da spyware. Questo ha permesso a un hacker di rubare username e password di un account della società di servizio per le agenzie. Manomettendo i recapiti e le impostazioni dell'account, l'hacker è stato in grado di emettere un falso profit warning a spese della società “X”.
Le conseguenze
La Società “X” ha perso il 20% del suo valore di mercato. La SEC (Security and Exchange Commission) ha avviato indagini contro l'hacker, sulla società X e sul servizio di trasmissione violato. Azionisti scontenti si sono uniti e hanno avviato tre azioni legali collettive contro la Società “X”. Il NASDAQ ha ripreso la vendita di azioni della Società “X” il giorno dopo la diffusione del profit warning fraudolento. L'hacker è scomparso senza lasciare traccia.
Conclusioni
La violazione ipotizzata non potrebbe verificarsi se gli account fossero protetti con la strong authentication, ossia una procedura di autenticazione che sostituisce le insicure password statiche con password usa e getta, temporanee (durano solo pochi secondi) e non riutilizzabili.
Il ricorso alla strong authentication da parte di organizzazioni e proprietari di applicazioni tutelerebbe l’accesso ai propri contenuti da parte degli utenti finali, ponendo sicuramente fine a tutti i rischi e ai problemi connessi al furto di identità.
Gli ultimi 12 mesi hanno mostrato un’intensa attività sul fronte del crimine informatico. Il numero di violazioni, che ha colpito migliaia di user account, è stato sorprendentemente alto. Social network come Facebook e Twitter (oltre 1 miliardo di utenti attivi), servizi come Evernote e Dropbox (34 milioni e 100 milioni di utenti rispettivamente), ma anche multinazionali come Apple non sono immuni da attacchi di hacker.
VASCO Data Security, leader mondiale nella strong authentication, ha ipotizzato cosa potrebbe succedere se un falso profit warning generasse caos al NASDAQ.
Uno scenario possibile
Quindici minuti prima dell’apertura del NASDAQ, un falso profit warning presumibilmente proveniente dalla Società quotata “X” fa il giro delle agenzie. Nei primi minuti successivi all’apertura del mercato i titoli della società subiscono una batosta di non meno del 18%. L'azienda definisce immediatamente un messaggio per confutare le affermazioni del falso profit warning. Il messaggio viene diffuso dalle agenzie 20 minuti dopo. Entro quel lasso di tempo, il danno è fatto. Gli investitori svendono massicciamente le azioni della società. In 20 minuti di tempo, il triplo del volume di scambi giornalieri delle azioni di “X” è stato oggetto di dumping. Il NASDAQ sospende lo scambio di azioni di “X” per il resto della giornata.
Che cosa è successo?
Il pc di un membro del dipartimento Corporate Communications della società è stato infettato da spyware. Questo ha permesso a un hacker di rubare username e password di un account della società di servizio per le agenzie. Manomettendo i recapiti e le impostazioni dell'account, l'hacker è stato in grado di emettere un falso profit warning a spese della società “X”.
Le conseguenze
La Società “X” ha perso il 20% del suo valore di mercato. La SEC (Security and Exchange Commission) ha avviato indagini contro l'hacker, sulla società X e sul servizio di trasmissione violato. Azionisti scontenti si sono uniti e hanno avviato tre azioni legali collettive contro la Società “X”. Il NASDAQ ha ripreso la vendita di azioni della Società “X” il giorno dopo la diffusione del profit warning fraudolento. L'hacker è scomparso senza lasciare traccia.
Conclusioni
La violazione ipotizzata non potrebbe verificarsi se gli account fossero protetti con la strong authentication, ossia una procedura di autenticazione che sostituisce le insicure password statiche con password usa e getta, temporanee (durano solo pochi secondi) e non riutilizzabili.
Il ricorso alla strong authentication da parte di organizzazioni e proprietari di applicazioni tutelerebbe l’accesso ai propri contenuti da parte degli utenti finali, ponendo sicuramente fine a tutti i rischi e ai problemi connessi al furto di identità.
Tutte le ultime su:
nasdaq
Questo scritto è redatto a solo scopo informativo, può essere modificato in qualsiasi momento e NON può essere considerato sollecitazione al pubblico risparmio.
Il sito web non garantisce la correttezza e non si assume la responsabilità in merito all’uso delle informazioni ivi riportate.
