Una grave vulnerabilità in Atlassian Confluence ha esposto i dati dell’agenzia GAO, nonostante gli avvisi in materia di sicurezza.
La violazione, perpetrata nei confronti della Government Accountability Office (GAO), un organismo statunitense di controllo delle spese pubbliche, è stata resa possibile tramite una vulnerabilità ben nota di un strumento di collaborazione di lavoro di Atlassian. La fuga di dati ha coinvolto migliaia di attuali e precedenti dipendenti della GAO, nonché alcune imprese che hanno condotto affari con l’agenzia.
Il contractor coinvolto, CGI Federal, ha informato la GAO del problema solamente il 17 gennaio, circa tre mesi dopo l’allarme lanciato dall’agenzia nazionale per la sicurezza informatica (CISA), che insieme a FBI e al Multi-State Information Sharing and Analysis Center (MS-ISAC), aveva evidenziato l’attiva sfruttamento di questa vulnerabilità. Un’azione immediata poteva essere cruciale per mitigare i rischi derivanti da questa grave esposizione.
CGI Federal, ramo statunitense dell’azienda canadese di servizi informatici e business CGI, ha attribuito l’accaduto a un attacco informatico ai danni di una loro piattaforma terza. La CGI a seguito della consulenza della CISA, ha intrapreso misure di mitigazione e continua a collaborare con le autorità per identificare e comunicare i dati interessati dall’exploit.
La GAO ha avviato un’indagine specifica per chiarire le cause della violazione, pianificando anche di offrire servizi di monitoraggio contro furti d’identità agli individui colpiti. Interessante notare come il lavoro di CGI con la GAO fosse legato ai sistemi di gestione finanziaria dell’agenzia, un aspetto che sottolinea la delicatezza e la rilevanza dei dati compromessi.
Nonostante le raccomandazioni di Atlassian e le successive indicazioni di sicurezza rilasciate dalle agenzie governative, la comunicazione tempestiva delle vulnerabilità e della loro sfruttamento rappresenta un punto critico nel panorama della cyber security. Le organizzazioni sono tenute a essere proattive e pronte a reagire non appena emergono simili criticità per garantire il mantenimento dell’integrità dei dati. Restano da chiarire i tempi di reazione che hanno preceduto l’informazione alla GAO, un aspetto cruciale nella gestione complessiva del rischio nelle infrastrutture informatiche sensibili.