Gli hacker sfruttano il download dei dati personali dalle grandi piattaforme come Google e Meta, e l’utilizzo misto di account personali e aziendali. Scopri come!

Come entrano gli hacker nei computer o nelle reti? Te lo sei mai chiesto? Sicuramente sì, ed è una domanda più che legittima a cui si possono dare molte risposte, che inoltre si evolvono nel tempo.

Ogni tanto, un esperto di cybersecurity scopre una nuova vulnerabilità che viene sfruttata dagli hacker, così gli utenti iniziano a proteggersi e gli hacker devono trovarne un’altra ancora sconosciuta.

Questa volta tocca al download dei dati personali dalle grandi piattaforme come Google e Facebook e all’uso combinato di account personali e aziendali, un cocktail letale che può portare all’esposizione di dati personali e aziendali e alla compromissione di intere reti.

In questo post parliamo di come entrano gli hacker sfruttando gli account delle grandi piattaforme, delle nuove vulnerabilità e di come difendersi. Buona lettura!

Il 63% delle persone utilizza account personali sul lavoro.

Pericolo nº 1: scaricare i dati personali

Da anni, le grandi piattaforme come Google, Facebook, Amazon e Apple sono obbligate a facilitare il download dei propri dati agli utenti. Ognuno di questi giganti mette a disposizione una pagina con un pulsante che permette di scaricare una copia dei propri dati personali, in modo che l’utente abbia sempre il controllo completo su ciò che l’azienda sa e salva su di lui.

Il problema è che se un hacker riesce a violare l’account, può sfruttare questa funzionalità per scaricare i dati della vittima e usarli per altri attacchi cyber.

Già che ci siamo, vediamo come scaricare i dati personali dalle cosiddette FAANG, ovvero le aziende tecnologiche più grandi del mondo: Facebook, Amazon, Apple, Netflix e Google.

Su Facebook:

  1. Accedi alle impostazioni del tuo account
  2. Vai alla sezione Le tue informazioni su Facebook
  3. Fai clic su Scarica le tue informazioni
  4. Seleziona i dati da esportare
  5. Scegli il formato e la qualità dei file
  6. Fai clic su Crea file e attendi la notifica di download.

Su Amazon:

  1. Accedi al tuo account Amazon
  2. Vai alla pagina Richiedi i tuoi dati
  3. Seleziona le categorie di dati che vuoi scaricare
  4. Invia la richiesta e attendi l’email con il link per il download.

Su Apple:

  1. Vai alla pagina privacy.apple.com e accedi con il tuo Apple ID
  2. Seleziona Richiedi una copia dei tuoi dati
  3. Scegli i dati che desideri includere
  4. Completa la richiesta e attendi che Apple prepari i tuoi dati.

Su Netflix:

  1. Accedi al tuo account Netflix
  2. Vai alla sezione Account
  3. Cerca l’opzione Scarica le tue informazioni personali
  4. Richiedi il download e attendi l’email con le istruzioni

Su Google:

  1. Vai alla pagina takeout.google.com
  2. Seleziona i prodotti Google di cui vuoi scaricare i dati
  3. Personalizza il formato e il metodo di consegna
  4. Clicca su Crea esportazione e attendi il link per il download.

È importante sapere come esportare i propri dati personali dai siti delle Big Tech, perché in un attimo possiamo vedere cosa sanno di noi e decidere come utilizzare le loro app. E qui ci colleghiamo alla seconda vulnerabilità sfruttata dagli hacker: l’uso combinato di account personali e professionali.

LEGGI ANCHE: Molestie ai minori su Facebook e Instagram: ex dipendente rivela dati scioccanti

Pericolo nº 2: usare gli account personali sul lavoro

La violazione dei download di dati personali diventa un problema ancora più serio quando una persona utilizza il proprio account personale sul lavoro, ad esempio per condividere file o comunicare con i colleghi.

Questo comportamento è molto diffuso, secondo recenti sondaggi è comune al 63% dei dipendenti aziendali. Ecco il tipico scenario di attacco:

  1. Un dipendente scarica i propri dati sul laptop aziendale per motivi personali, di lavoro o semplice comodità.
  2. I dati vengono incidentalmente inclusi negli strumenti di lavoro (Google Drive, OneDrive, email aziendali).
  3. Un hacker compromette l’account personale del dipendente e ottiene accesso ai file aziendali poiché il dipendente ha sincronizzato password e credenziali.
  4. Il rischio si estende a tutta l’azienda, con potenziali esposizioni a furti di dati, attacchi mirati e multe per mancata protezione delle informazioni.

A questo tipo di scenario, bisogna aggiungere che violare un account personale è sempre più interessante per un hacker, perché potenzialmente consente di accedere a una grande quantità di dati, informazioni e servizi. Ora che abbiamo capito come entrano gli hacker, vediamo le conseguenze principali di questi attacchi.

Effetti della combinazione di vulnerabilità

Gli hacker che riescono a sfruttare il download dei dati personali della vittima e l’uso combinato di account personali e aziendali possono portare a termine molti tipi di attacchi cyber, con un impatto potenzialmente enorme sulla vittima e sulle persone o aziende con cui collabora:

  • Furto di identità
  • Perdita di controllo sui propri dati personali
  • Uso delle informazioni per violare altri account (social engineering)
  • Interruzione di servizi e operatività
  • Furto di denaro
  • Sanzioni personali e a livello aziendale (fino a un 4% del fatturato annuo)
  • Calo della reputazione e della fiducia dei clienti
  • Esposizione di risorse e segreti aziendali

Questo elenco potrebbe andare ancora avanti, perché le nostre vite digitali sono ormai legate indissolubilmente tra loro e tra i diversi ambiti (lavorativo, personale, finanziario e perfino sanitario). Per questo motivo, i punti più critici sono proprio i contatti tra queste dimensioni. Vediamo meglio cosa significa.

Meno sovrapposizioni, meno rischi: la sicurezza è anche questione di confini.

Protezione dagli hacker: differenziare e difendere

Ora che sappiamo come entrano gli hacker, andiamo a vedere cosa possiamo fare per impedirglielo. Spesso, i problemi complessi hanno soluzioni relativamente semplici, come in questo caso: separare gli account, le informazioni, le credenziali e i dispositivi. Meno punti di contatto e sovrapposizione ci sono, meglio è.

4 consigli strategici fondamentali

  • Non scaricare dati personali su dispositivi aziendali. Utilizza solo hard disk e altri supporti personali (e crittografati) per salvare le tue informazioni. Non pensare solo alla comodità, perché a volte risparmiare 5 minuti può creare problemi che richiederanno ore e ore per essere risolti (come il blocco dei dati dovuto a un ransomware).
  • Mai sincronizzare account personali e aziendali. Di fatto, mai riutilizzare le stesse credenziali per più di un account: almeno la password deve essere sempre unica e complessa, ovvero una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali, che non abbia un significato personale e a cui un hacker non possa risalire facilmente (ad esempio, non usare il nome del tuo animale domestico seguito dalla data di nascita).
  • Usa dispositivi e account aziendali per i documenti di lavoro: per quanto possa sembrare comodo, non usare il tuo account personale di Google Drive per salvare file aziendali e non comunicare con i tuoi colleghi tramite la chat di Facebook.
  • Controlla gli accessi: imposta l’autenticazione a 2 fattori (2FA) per evitare compromissioni degli account e controlla sempre i tentativi di accesso.

Sappiamo che seguire questi consigli comporta un investimento di tempo ed energie, ma è necessario per proteggere adeguatamente i propri dati personali, gli account e le risorse dell’azienda per cui lavori.

Inoltre, questo discorso è ancora più valido per i liberi professionisti e i piccoli imprenditori, e non solo per i dipendenti pubblici o di imprese private. Il lavoratore autonomo tende a sovrapporre servizi e account personali e professionali con maggiore facilità, ma non ha a disposizione i sistemi di difesa informatica di cui in genere dispongono le aziende più grandi, per cui i pericoli per questa categoria sono ancora più grandi.

Proteggi i tuoi dati: difenditi dagli hacker ora!

In questo post abbiamo parlato di un nuovo scenario di attacco incrociato, la violazione dei download di dati personali e la combinazione di account personali e aziendali. Abbiamo visto come entrano gli hacker negli account e cosa possono fare con le informazioni che trovano, e abbiamo condiviso quattro suggerimenti pratici per difenderci da questo tipo di attacchi cyber.

Per concludere, ti invitiamo a proteggere tutti i tuoi dispositivi personali con una suite di cybersecurity completa come Panda Dome, che include antivirus, VPN, password manager e molte altre funzionalità utili.

E tu, separi gli account privati da quelli professionali? La tua azienda ha mai subito un data breach o un attacco informatico? Raccontacelo nei commenti!

CONTINUA A LEGGERE: Windows Security è sufficiente o serve un antivirus per Windows 10 e 11?

Buona navigazione e buona protezione dei tuoi dati personali!