Ecco un breve commento di Gerald Beuchelt, CISO di Acronissulla notizia secondo cui un database di circa 4 TB appartenente a Ernst & Young (EY) è risultato accessibile online senza alcuna protezione, esponendo potenzialmente credenziali e dati aziendali riservati.
Commento di Gerald Beuchelt, CISO di Acronis
“L’esposizione del database di EY mette in luce uno dei rischi più trascurati nella cybersecurity: i backup non protetti. Spesso considerati semplici attività amministrative, i backup contengono invece copie complete dei sistemi in produzione, con credenziali, codice sorgente, chiavi API e dati di configurazione. Se resi pubblicamente accessibili, possono offrire a chiunque la chiave d’accesso all’intero ambiente digitale di un’organizzazione.
Questo episodio dimostra come anche realtà di grandi dimensioni e con un’elevata maturità in materia di sicurezza possano trovarsi esposte per un singolo errore di configurazione. Le configurazioni errate nei servizi cloud – come bucket S3 aperti o snapshot non protetti – restano infatti tra le cause più comuni di violazioni su larga scala. I backup devono essere gestiti con lo stesso livello di protezione dei sistemi in produzione, prevedendo controlli di accesso rigorosi, crittografia e monitoraggio continuo. Non dovrebbero mai essere archiviati in posizioni pubbliche o condivise, e andrebbero utilizzati strumenti automatizzati per verificare regolarmente che nessun bucket o backup sia rimasto esposto.
Anche gli strumenti automatizzati di gestione delle configurazioni per i servizi XaaS, come Microsoft 365, giocano un ruolo essenziale per garantire un monitoraggio costante della postura di sicurezza complessiva. Oltre a tutelare i dati di backup, consentono di controllare che le impostazioni dei servizi critici siano correttamente configurate, riducendo così il rischio di vulnerabilità che potrebbero compromettere ulteriormente la sicurezza aziendale.
In ultima analisi, la protezione dei backup deve essere considerata parte integrante della strategia di sicurezza complessiva. Un solo backup esposto può vanificare anni di investimenti in controlli e tecnologie: per questo, audit regolari e una gestione proattiva delle configurazioni sono fondamentali per prevenire incidenti come questo”.
