HPE ha rivelato che i repository di dati per la propria piattaforma di monitoraggio della rete Aruba Central sono stati compromessi da un hacker utilizzando una chiave di accesso rubata attraverso la quale ha ottenuto l’accesso ai dati raccolti sui dispositivi monitorati e sulle loro posizioni.
Aruba Central è una soluzione di cloud networking che permette agli amministratori di gestire reti e componenti di grandi dimensioni da un’unica dashboard.
HPE ha comunicato che l’attore di minacce ha ottenuto una “chiave di accesso” che gli ha consentito per 18 giorni, tra il 9 ottobre 2021 e il 27 ottobre, di visualizzare e avere accesso ai dati dei clienti archiviati nell’ambiente Aruba Central. Il 27 ottobre, infatti, HPE ha revocato la chiave.
I repository soggetti all’esposizione contenevano due set di dati, uno per l’analisi della rete e l’altro per la funzione “Tracciamento dei contratti” di Aruba Central.
“Un set di dati (“analisi di rete”) conteneva dati di telemetria di rete per la maggior parte dei clienti Aruba Central sui dispositivi client Wi-Fi collegati alle reti Wi-Fi del cliente. Un secondo set di dati (“tracciamento dei contatti”) conteneva dati relativi alla posizione sul Wi-Fi dispositivi client inclusi i dispositivi che erano in prossimità di altri dispositivi client Wi-Fi”, spiega una FAQ di Aruba Central sull’incidente di sicurezza.
Il set di dati di analisi di rete includeva indirizzi MAC, indirizzi IP, sistemi operativi, nome host e, per le reti Wi-Fi autenticate, il nome utente di una persona mentre il set di dati di tracciamento del contratto includeva anche la data, l’ora e i punti di accesso Wi-Fi a cui gli utenti erano connessi, consentendo potenzialmente all’autore della minaccia di tracciare la vicinanza generale della posizione degli utenti.
“Gli archivi di dati contenevano anche registrazioni di data, ora e punto di accesso Wi-Fi fisico a cui era connesso un dispositivo, che potevano consentire di determinare la vicinanza generale della posizione di un utente. L’ambiente non includeva categorie sensibili o speciali dei dati personali (come definito dal GDPR)”, si legge nelle FAQ.
“Dopo aver svolto un’indagine sulla violazione, HPE ha concluso che:
- Non più di 30 giorni di dati sono stati archiviati all’interno dell’ambiente in qualsiasi momento, poiché i dati nelle funzionalità di analisi della rete e tracciamento dei contatti dell’ambiente Aruba Central vengono eliminati automaticamente ogni 30 giorni.
- L’ambiente includeva dati personali, ma nessun dato personale sensibile. I dati personali includono indirizzi MAC, indirizzi IP, tipo di sistema operativo del dispositivo e nome host e alcuni nomi utente. I dati di tracciamento dei contatti includevano anche il nome del punto di accesso (AP) degli utenti, la vicinanza e la durata della connessione a quell’AP.
- La probabilità che i tuoi dati personali siano stati consultati è estremamente bassa, in base a un’analisi approfondita dei modelli di accesso e di traffico.
- Le informazioni sensibili alla sicurezza non sono state compromesse, quindi non riteniamo che sia necessario modificare le password, modificare le chiavi o alterare la configurazione di rete”.
HPE ha dichiarato che stanno cambiando il modo in cui proteggono e archiviano le chiavi di accesso per prevenire incidenti futuri.
BleepingComputer che ha contattato HPE per saperne di più su come sia stata rubata la chiave di accesso ha ricevuto la seguente dichiarazione:
“Siamo consapevoli di come gli attori delle minacce hanno ottenuto l’accesso e abbiamo adottato misure per prevenirlo in futuro. I token di accesso non erano legati ai nostri sistemi interni. I nostri sistemi interni non sono stati violati in questo incidente”. – HPE.