Gli Attacchi tramite OAuth: Un Rischio Sottovalutato dalla Sicurezza Informatica

Negli ultimi tempi, sempre più strumenti di intelligenza artificiale e applicazioni di produttività si sono integrati nelle infrastrutture aziendali mediante OAuth, un protocollo di autorizzazione essenziale per connessioni sicure. Tuttavia, molti team di sicurezza non sono ancora riusciti a chiudere la “porta sul retro” rappresentata da token OAuth persistenti. Questi token, che non scadono automaticamente e la cui gestione rimane spesso trascurata, rappresentano una minaccia significativa per le organizzazioni, specialmente in Italia, dove l’adozione di tecnologie digitali cresce rapidamente.

La Problematica degli OAuth Non Gestiti

Un numero crescente di studi ha dimostrato che gli OAuth non gestiti costituiscono un rischio significativo, con l’80% dei leader nella sicurezza informatica che li considera una priorità critica. Più della metà delle aziende, tuttavia, non attua nessuna strategia per monitorarli in modo attivo, limitandosi a processi manuali o, peggio, a registri in fogli di calcolo. Questo non solo indica una mancanza di consapevolezza operativa, ma rappresenta una vulnerabilità per le aziende che, nel tentativo di migliorare l’efficienza operativa, lasciano aperti varchi per potenziali attacchi.

I token OAuth non scadono al momento della cessazione di un dipendente o nel cambio di password. Di conseguenza, un attaccante che riesca a impossessarsi di un token valido può accedere senza alcuna autenticazione, bypassando i controlli di protezione come l’autenticazione multifattore (MFA). Questo è un problema particolarmente rilevante per le aziende italiane, dove spesso non esiste un monitoraggio centralizzato di queste autorizzazioni.

Attacchi Reali: Il Caso Drift

Un’illustrazione pratica della minaccia rappresentata dagli OAuth è l’incidente legato a Drift, un’applicazione di engagement commerciale. Un attaccante, utilizzando token OAuth rubati in precedenti campagne di phishing, ha avuto accesso agli ambienti Salesforce di oltre 700 organizzazioni, che includono anche aziende italiane. In questo caso, i controlli di sicurezza perimetrali non hanno rilevato nulla di sospetto, poiché il token utilizzato era legittimo e già autorizzato. Gli attacchi di questo tipo evidenziano che le vulnerabilità di sicurezza non derivano solo da applicazioni sconosciute, ma anche da software affidabili che possono diventare vettori di attacco se le credenziali vengono compromesse.

Strategia di Monitoraggio Necessaria

Per affrontare questa problematica, è cruciale implementare un monitoraggio attivo del comportamento delle applicazioni OAuth, che vada oltre l’analisi dei permessi iniziali. Questo riconosce che il rischio non si limita a un’applicazione sospetta, ma si estende anche ad applicazioni legittime la cui integrità può essere messa in discussione nel tempo. Le aziende devono adottare un approccio più strategico con un monitoraggio continuo, analizzando le chiamate API per rilevare anomalie e potenziali accessi non autorizzati.

È fondamentale anche valutare il “raggio d’azione” di un’applicazione collegata a contenuti sensibili. L’impatto di un OAuth compromesso varia in base ai dati a cui l’app ha accesso. Un’app collegata a un account con accesso a informazioni critiche presenta rischi molto più elevati e, quindi, deve essere gestita con massima attenzione.

Conclusione: La Necessità di Un Monitoraggio Attivo

L’adozione di OAuth da parte delle applicazioni non è destinata a diminuire, specialmente con l’intensificarsi dell’uso di strumenti d’intelligenza artificiale nelle aziende. Invece di limitare l’accesso a tali strumenti, le aziende devono investire in soluzioni di monitoraggio proattive per garantire la sicurezza delle loro infrastrutture digitali. Per i team di sicurezza che vogliono mantenere la visibilità sulle connessioni attive e implementare risposte tempestive, è fondamentale considerare tecnologie avanzate che possano gestire questi rischi in modo efficace e tempestivo.