Un chatbot è stato hackerato, scatenando il panico generale

Se ne sta discutendo. E pure parecchio. Da oltre una settimana. Da quando, cioè, un nuovo attacco informatico su larga scala ha colpito diverse multinazionali in tutto il mondo. Fra le vittime, come spiega La Tribune, colossi come Adidas, LVMH e Cloudfare. A colpire, e far discutere, è il fatto che gli hacker abbiano sfruttato una falla in un software di gestione, Salesforce, collegato a un chatbot, Drift, sempre più utilizzato dai team di vendita. L'operazione, rivelata alla fine di agosto da un'apposita squadra investigativa di Google, ha colpito una piattaforma, Salesforce appunto, utilizzata da oltre 200 mila aziende.

Siamo di fronte, manco a dirlo, a un furto di dati. Di dimensioni importanti, anche. Sono state compromesse informazioni sui clienti, scambi professionali e dati interni dei dipendenti. Non solo, sarebbero stati esfiltrati anche documenti industriali. Google ha indicato nel gruppo UNC6395 i responsabili. Questi hacker, secondo Infinity ERM, un'unità di ricerca di Check Point, sarebbero affiliati alla Cina. Il trucco, in questo caso, è stato individuare, e come detto sfruttare, una falla in un programma comune, grazie al quale è stato possibile accedere a numerosi database. Nello specifico, la falla si trovava nel chatbot. E qui, diciamo, casca l'asino: questi strumenti, infatti, da un lato sono sempre più integrati e diffusi nelle realtà aziendali ma, dall'altro, non sono così sicuri. 

Un esperto americano, Reyben T. Cortes, ha spiegato all Tribune di aver individuato «circa 1.400 siti web che utilizzano il chatbot Drift AI di Salesloft, molti dei quali di grandi nomi, tra cui aziende di ricerca sulla sicurezza informatica». Cortes ha osservato che «molte aziende si sono affrettate a implementare questi chatbot, in quanto svolgono un ruolo importante nella corsa all'utilizzo dell'AI per guidare le vendite e convertire i contatti sui loro siti web». Non rendendosi conto, tuttavia, che lungo la catena di approvvigionamento si possono generare non poche vulnerabilità, «di cui non si conosce l'entità finché non si verifica l'attacco».

Sebbene diversi gruppi abbiano riconosciuto pubblicamente di essere stati colpiti dalla falla tra Drift e Salesloft, il numero totale delle vittime rimane difficile da valutare. Molte multinazionali stanno ancora cercando di identificare eventuali falle. Circolano pochissime informazioni, al contempo, sugli hacker. I team di ricerca di Check Point hanno indicato una possibile e potenziale affiliazione con la Cina, dove gli hacker sponsorizzati dallo Stato sono regolarmente associati ad attacchi alla catena di approvvigionamento. Salesforce, da parte sua, ha annunciato l'interruzione di tutte le connessioni al chatbot Drift, in attesa di valutare l'esatta entità del danno.

Nel 2024, un gruppo legato a Pechino ha compromesso oltre 1.700 dispositivi aziendali dopo essersi infiltrato nella soluzione VPN di Ivanti. Un anno prima, un altro attacco massiccio aveva permesso agli hacker di rubare i dati di migliaia di organizzazioni in tutto il mondo, violando il programma di filtraggio delle e-mail di Barracuda.