Per 18 giorni un attaccante ha avuto accesso a due set di dati relativi alla piattaforma di monitoraggio di rete Aruba Central. Le indagini rassicurano: le informazioni esfiltrate sono poche e non critiche.
I repository di dati della piattaforma di monitoraggio della rete Aruba Central sono stati compromessi nel corso di un incidente informatico. La conseguenza è che uno o un gruppo di attaccanti non identificato ha potuto accedere ai dati raccolti sui dispositivi monitorati e sulle loro posizioni. La notizia è stata confermata da HPE, che in una dichiarazione ufficiale ha spiegato: "sappiamo come gli attaccanti abbiano ottenuto l'accesso, e abbiamo adottato misure per fare che non si ripeta. I token di accesso non erano legati ai nostri sistemi interni. I nostri sistemi interni non sono stati violati".
Nelle FAQ relative all'incidente di sicurezza, Aruba spiega che la violazione riguarda due set di dati. Il primo, network analytics, conteneva dati di telemetria di rete per la maggior parte dei clienti Aruba Central sui dispositivi client Wi-Fi connessi alle relative reti. L'altro è un set di dati relativo al contact tracing, che conteneva dati relativi alla posizione Wi-Fi dei client, compresi quelli in prossimità di altri client Wi-Fi.
Più in dettaglio, il set di dati di network analytics esposto includeva indirizzi MAC, indirizzi IP, sistemi operativi, nome host e, per le reti Wi-Fi autenticate, il nome utente. Il set di contact tracing includeva anche la data, l'ora e i punti di accesso Wi-Fi a cui gli utenti erano connessi, consentendo potenzialmente agli attaccanti di tracciare la posizione degli utenti.
Sempre nelle FAQ è riportato che "l'ambiente violato non ospitava dati sensibili o specifici dati personali (come definito dal GDPR)". Inoltre, Aruba stima che la quantità di dati esfiltrata sia irrisoria. "Gli ingegneri di Aruba hanno analizzato i record d'uso dei repository esposti e li hanno correlati con le attività note e autorizzate. Risulta che l'attività non autorizzata riguardi una porzione trascurabile dei dati archiviati" si legge sempre nelle FAQ, dove si conclude che Aruba può "affermare in modo definitivo che l'attaccante non ha né visionato né scaricato quantità significative di dati".
Da notare che nella pagina delle FAQ viene menzionato più volte il termine "bucket". Questo indizio, insieme ai contenuti della dichiarazione ufficiale riportata sopra, fanno sospettare che l'attaccante abbia probabilmente ottenuto la chiave di accesso per un bucket di storage utilizzato dalla piattaforma.
Aruba Central è una soluzione di cloud networking che consente agli amministratori di gestire reti di grandi dimensioni da un'unica dashboard. L'attaccante avrebbe ottenuto una chiave di accesso che gli ha aperto le porte dell'ambiente di Aruba Central per 18 giorni, tra il 9 ottobre 2021 e il 27 ottobre.
HPE ha sottolineato che per policy interna le informazioni nell'ambiente Aruba Central vengono automaticamente eliminate ogni 30 giorni. Ne segue che chi ha avuto illegalmente accesso alla rete abbia potuto consultare i dati relativi a un periodo non superiore ai 30 giorni. Il 27 ottobre l'intrusione è stata identificata e HPE ha revocato la chiave.
Per questo motivo, e alla luce dell'analisi approfondita dei modelli di accesso a traffico, l'azienda rassicura i clienti circa il fatto che la probabilità che l'intruso abbia avuto accesso ai loro dati personali è estremamente bassa. In ultimo, HPE garantisce che le informazioni relative alla sicurezza non sono state compromesse, quindi non reputa necessario esortare i clienti a modificare le password o a mettere mano alla configurazione di rete.
Nonostante tutte le rassicurazioni, HPE ha sottolineato che sta cambiando il modo in cui protegge e archivia le chiavi di accesso per prevenire incidenti futuri.