A cura di Luca Stivali, Roland Kapidani e Silvia Felici.

Negli ultimi giorni si è acceso un dibattito attorno alla fuga di dati che ha coinvolto numerose strutture alberghiere italiane. Ne abbiamo già parlato su Red Hot Cyber, ma le evoluzioni non si sono fatte attendere.

Dopo la pubblicazione del nostro articolo, la redazione è stata contattata da un servizio IT di una delle strutture colpite: da quel confronto sono emerse conferme importanti e nuove informazioni che ci hanno permesso di condurre attività di Cyber Threat Intelligence (CTI) e di ricostruire meglio la dinamica degli eventi.

Non un problema dei singoli hotel, ma della piattaforma cloud condivisa

Fin dall’inizio avevamo ipotizzato che l’esfiltrazione dei documenti non fosse legata ai sistemi interni dei singoli hotel, ma piuttosto a un servizio SaaS centralizzato.

Questa ipotesi si è rivelata fondata:

• le evidenze raccolte nel dark web dimostrano che per oltre il 99% degli hotel compromessi erano già disponibili credenziali valide, rubate tra il 2023 e il 2024 tramite malware infostealer;
• le stesse credenziali, appartenenti al personale amministrativo degli hotel, sono state con ogni probabilità riutilizzate dagli attaccanti per accedere alla piattaforma cloud e sottrarre i dati.

Dalle nostre analisi emerge con forte probabilità che l’attacco non sia partito da sofisticati exploit, ma da campagne mirate di phishing: email ben confezionate, spesso camuffate da conferme di prenotazioni o arrivi imminenti, hanno indotto il personale a scaricare ed eseguire file malevoli.

Da lì, gli infostealer hanno fatto il resto: raccolta delle credenziali, esfiltrazione e successiva vendita nei marketplace underground.

Un dettaglio ancora più preoccupante

C’è però un ulteriore elemento che complica la vicenda. Tra le credenziali circolanti nel dark web non figurano soltanto account appartenenti agli hotel clienti, ma anche un utente riconducibile al personale IT della piattaforma SaaS stessa.

Se confermato, questo significherebbe che gli attaccanti avrebbero potuto disporre non solo di accessi operativi dei clienti, ma anche di credenziali interne, con potenziali privilegi ben più estesi. Uno scenario che apre interrogativi inquietanti sul livello di sicurezza complessivo dell’infrastruttura.

Un ulteriore punto critico riguarda la sicurezza degli accessi: dalle informazioni raccolte sembra che misure come l’autenticazione a due fattori siano disponibili solo per i pannelli di gestione più avanzati, ma non per l’interfaccia operativa utilizzata quotidianamente dal personale.

Si tratta di un limite che, se confermato, renderebbe ancora più semplice per un attaccante sfruttare credenziali rubate senza dover superare ulteriori barriere di sicurezza.

Lezioni apprese

Questa vicenda conferma ciò che in molti già sospettavano: il vero tallone d’Achille oggi non sono i sistemi, ma le persone e le loro credenziali:

• Gli infostealer sono la minaccia silenziosa che alimenta gran parte degli abusi nel dark web;
• Le credenziali rubate rappresentano il punto di partenza di campagne che colpiscono settori interi;
• La difesa richiede non solo tecnologie (MFA, monitoraggio del dark web, rotazione password), ma soprattutto processi e formazione.

Questa vicenda è l’ennesima conferma che la cybersicurezza non può limitarsi alla tecnologia: antivirus, EDR/XDR, firewall e buone pratiche restano fondamentali, ma da soli non bastano.

Serve anche un’attività costante di intelligence, capace di monitorare i marketplace del dark web, intercettare le credenziali rubate e fornire segnali di allarme prima che diventino veri e propri incidenti.

L'articolo Dark web e hotel italiani: rubati documenti con credenziali lecite di una piattaforma cloud proviene da il blog della sicurezza informatica.