“Le nostre analisi non rivelano alcun segno di accesso ai nostri sistemi né ai nostri dati. L’incidente concerne un’applicazione software sviluppata da una terza parte e non direttamente da Nokia”. Il data breach a Nokia – tipologia di attacco informatico subìto da Toyota – di cui scrive (tra gli altri) Cyber Daily, viene “ridimensionato” da un portavoce della multinazionale finlandese, che – di fatto – smentisce le voci sul cyberattacco subìto dall’azienda con sede centrale ad Espoo, fondata a Tampere nel 1865.
Nelle parole del portavoce, a seguito di un’indagine interna è emerso che il codice sorgente rivelato su un forum di criminali informatici non appartiene alla big tech bensì a un fornitore terzo. Da parte sua, il threat actor IntelBroker – amministratore del famigerato BreachForums – sostiene che il codice sorgente appartiene a Nokia. L’azienda finlandese però non ci sta, ribadendo che il “sorgente” riguarda un’applicazione sviluppata da terzi per un suo cliente.
Accesso abusivo attraverso il server SonarQube
Come riporta Bleeping Computer, il data breach a Nokia è avvenuto mediante un server SonarQube del fornitore terzo, che sarebbe stato mal configurato, permettendo di scaricare file di varie aziende (tra le quali, appunto, il colosso tecnologico finlandese). IntelBroker spiega che i dati comprendono anche chiavi RSA e SSH, login Bitbucket, account SMTP, credenziali hardcoded e webhocks.
IntelBroker riconosce che i dati sono stati esfiltrati da un server SonarQube utilizzando le credenziali predefinite. Sono stati scaricati i progetti Python di molte aziende (come anticipato, Nokia compresa). Nonostante la mancanza di evidenti minacce, la multinazionale finlandese rende noto che proseguirà a monitorare la situazione per assicurare la sicurezza dei propri sistemi e dei clienti.
Rimarcando: “Non abbiamo trovato nessuna prova che questo incidente di terze parti possa in alcun modo mettere a repentaglio sistemi oppure dati Nokia critici, tra cui codice sorgente, software personalizzato o chiavi di crittografia. I nostri clienti, inclusi i loro dati e le loro reti, non sono in alcun modo interessati”.
IntelBroker e il data breach ad Europol
Come riporta Bleeping Computer, a maggio Europol ha confermato l’accesso non autorizzato al portale Europol Platform for Experts (EPE). Dietro al data breach ad Europol ci sarebbe sempre la sigla IntelBroker, che avrebbe messo in vendita sul BreachForums alcuni documenti “for official use only” (file riservati) contenenti dati classificati (informazioni dipendenti, file pdf, linee guida, codici sorgente, istruzioni). Esposti 9.128 record.
Inoltre, il cybercriminale avrebbe ottenuto l’accesso sia al cosiddetto EC3 Space (Secure Platform for Accredited Cybercrime Experts), che custodisce centinaia di documenti relativi a crimini informatici, sia alla piattaforma Sirius, utilizzata dalle autorità per la condivisione transfrontaliera delle prove elettroniche nel corso delle indagini.
