Se pensavate che l’unico vero pericolo fosse un cortocircuito mentre cercate di alimentare la vostra stampante 3D con un alimentatore recuperato da un vecchio PC, riconsiderate le vostre priorità.
È appena emersa una notizia che farebbe venire il mal di testa a qualsiasi sysadmin che si rispetti: un vero e proprio zero-day sta colpendo PeopleSoft, il software di Oracle. E non parliamo di una vulnerabilità da poco, tipo un bug che fa saltare il font in un documento HTML. Qui parliamo di una falla critica che sta permettendo ad attaccanti anonimi di bypassare i controlli e succhiare via gigabyte di dati sensibili da centinaia di organizzazioni. In pratica, un buffet a buffet libero dove il cibo sono i dati privati di massa.
Per chi non mastica il gergo corporate, PeopleSoft è uno di quei pesanti sistemi ERP che le grandi aziende usano per gestire tutto, dai dipendenti ai pagamenti. Oracle, con la solita eleganza, ha creato un ecosistema così chiuso e complesso che, quando si presenta un buco di questa portata, l’effetto domino è inevitabile. È la solita storia del vendor lock-in: ti incastrano in un ecosistema proprietario, ti vendono licenze che costano quanto un garage in centro e poi, boom, scopri che la porta principale è rimasta aperta perché qualcuno ha dimenticato di mettere la serratura.
Da smanettone, guardo a questa cosa con un misto di disgusto e rassegnazione. Noi siamo abituati a smontare i circuiti per vedere come sono fatti, a cercare il bug nel codice open source per capire la logica dietro un driver, o a ottimizzare un motore fisico in Godot per farlo girare su un hardware del 2010. C’è trasparenza, c’è l’idea che se qualcosa si rompe, possiamo capire perché e aggiustarlo. Nel mondo dei software enterprise come PeopleSoft, regna l’opacità. Se c’è un buco, non lo saprai mai finché i dati non sono già sul dark web.
Cosa significa per noi che amiamo il mondo maker e l’automazione? Significa che la sicurezza non è un optional che si aggiunge con un plugin, ma deve essere alla base di ogni progetto. Mentre noi ci divertiamo a programmare script Python o a modellare pezzi in Blender, dobbiamo ricordare che il software che gestisce il mondo reale è spesso un castello di carte digitale.
Quindi, un consiglio: se avete progetti che toccano dati sensibili o reti critiche, non fidatevi ciecamente dei giganti del software. Se potete, cercate soluzioni che permettano l’audit, che siano trasparenti, che non vi obblighino a firmare contratti che sembrano trattati di pace tra imperi. E se vedete un aggiornamento critico uscire per un sistema che gestisce i vostri dati… beh, pregate che non sia troppo tardi.
Source: PeopleSoft 0-day affecting hundreds of organizations steals gigabytes of data