L'organizzazione britannica senza scopo di lucro Cifas, specializzata nella lotta alle frodi, ha appena pubblicato uno studio che dovrebbe preoccupare chiunque gestisca un'azienda o effettui acquisti presso una di esse: un lavoratore su otto nelle grandi imprese ha venduto le proprie credenziali di accesso aziendali o conosce qualcuno che lo ha fatto.
Internet pullula di credenziali compromesse che i dipendenti utilizzano per accedere ai sistemi aziendali. Nel 2025, la società di intelligence sulle minacce KELA ha rilevato quasi 2,9 miliardi di credenziali compromesse a livello globale. La maggior parte di queste proviene da attacchi di phishing e da programmi di furto di dati. Ma grazie ai dipendenti desiderosi di guadagnare rapidamente, i criminali informatici non devono fare altro che proporre loro un'offerta.
Gli addetti ai lavori che nessuno nota
Cifas ha intervistato 2.000 dipendenti di aziende con almeno 1.000 dipendenti. Di questi, il 13% ha ammesso di aver venduto le proprie credenziali di accesso aziendali negli ultimi 12 mesi, o di conoscere qualcuno che lo ha fatto. Sorprendentemente, come sottolinea il rapporto, chi ha venduto le credenziali lo ha fatto «spesso convinto che fosse un gesto innocuo».
Notizia flash: vendere le credenziali del proprio account non è una cosa innocua. I criminali le vogliono per poter prendere il controllo dell'account e compiere azioni illecite. Secondo Verizon, lo scorso anno negli Stati Uniti i casi di appropriazione indebita di account sono aumentati del 6%, superando quota 78.000.
Molti degli account compromessi sono account personali relativi a servizi che spaziano dai social media ai siti di streaming online, oltre che, ovviamente, ai conti bancari. Ma molti altri sono account di sistemi aziendali come Microsoft 365, Salesforce e altre piattaforme che contengono dati aziendali sensibili. Queste informazioni riservate rappresentano una merce preziosa per i criminali, che possono poi venderle sul mercato libero.
Il tuo capo ha più probabilità di te di riuscire a vendere
In teoria, è proprio qui che dovrebbe entrare in gioco una tecnica comunemente nota come «accesso con privilegi minimi».
L'idea è che un account aziendale online debba avere accesso solo alle informazioni di cui ha bisogno. Quindi Jim, che lavora alla mensa, dovrebbe poter accedere al sistema di ordinazione dei pasti, ma non all'intero database dei clienti. In questo modo, anche se l'account di Jim venisse compromesso, il peggio che potrebbero fare gli hacker sarebbe privarvi delle salsicce domani.
Il problema è che, secondo il rapporto, i dirigenti di alto livello sono ancora più propensi a vendere le credenziali dei propri account rispetto ai dipendenti di livello inferiore. Il 32% dei dirigenti senior lo ritiene giustificabile, così come il 36% dei direttori, il 43% dei dirigenti di alto livello e, cosa sorprendente, quattro imprenditori su cinque. Data la loro posizione, anche con un accesso basato sul principio del privilegio minimo, i loro account possono comunque consentire l'accesso a funzioni e dati sensibili del sistema.
Non si tratta solo di un problema del Regno Unito
Lo studio di Cifas riguarda specificamente il Regno Unito, ma probabilmente la questione non si ferma qui. Abbiamo visto dipendenti di diverse aziende vendere l'accesso a conti o dati aziendali. Ad esempio, l'azienda di criptovalute Coinbase ha rivelato lo scorso anno che alcuni dipendenti di una società di outsourcing con sede in Bangladesh hanno venduto i dati dei clienti ad hackers.
La compromissione delle credenziali è un fenomeno molto diffuso. Da una nostra ricerca è emerso che, in un solo periodo di 30 giorni, 111 aziende della classifica Fortune 500 hanno subito la fuga di credenziali dei propri dipendenti. Nel lungo periodo, 363 di queste aziende (pari al 73%) hanno perso il controllo di almeno una credenziale dei propri dipendenti.
Il fatto che i dipendenti vendano le proprie credenziali di accesso non è solo dannoso per le aziende che li assumono, ma anche per i clienti.
Quando la password di un amministratore viene messa in vendita, è probabile che anche i dati dei clienti non tardino a seguire, anche se probabilmente non sarà l'amministratore stesso a venderli. Malwarebytes che il 91% delle aziende Fortune 500 ha subito la fuga di credenziali dei propri clienti, e gli account compromessi rappresentano un ottimo modo per accedervi.
Il rischio legato agli insider, quindi, non è solo una questione che riguarda le aziende. È anche una questione che riguarda i consumatori. Questo ci rende meno propensi a fornire i nostri dati personali alle grandi aziende senza chiederci perché ne abbiano bisogno.
Probabilmente il tuo nome, indirizzo e numero di telefono sono già in vendita.
I broker di dati raccolgono e vendono i tuoi dati personali a chiunque sia disposto a pagare. Malwarebytes Personal Data Remover liPersonal Data Remover e provvede alla rimozione delle tue informazioni, continuando poi a monitorare la situazione affinché rimangano protette.
