Tutte le aziende, indipendentemente dalle dimensioni o dal settore in cui operano, sono un potenziale bersaglio dei cybercriminali. La crescente consapevolezza dell’importanza della sicurezza delle password per prevenire le violazioni dei dati fa sì che le aziende concentrino la propria attenzione sui punti deboli più ovvi, come gli account e-mail dei dipendenti e le password di rete. Tuttavia, le password dei social media presentano, dal punto di vista della sicurezza, criticità uniche che le organizzazioni potrebbero non essere preparate a gestire.
La mancanza di una vera e propria sicurezza delle password è particolarmente preoccupante per le agenzie di social media e di marketing digitale, che gestiscono più clienti, tra cui aziende e persone di alto profilo, come influencer e celebrità. Tuttavia, i reparti di marketing delle grandi organizzazioni o delle PMI (piccole e medie imprese) devono affrontare problemi simili quando desiderano proteggere le password dei loro social media aziendali.
Per proteggere le password degli account di social media dovrai adottare le stesse precauzioni necessarie per proteggere le altre password della tua organizzazione. Per esempio, l’obbligo di proteggere tutti gli account dei social media con password efficaci e univoche, archiviate e condivise in modo sicuro. Le aziende non devono mai comunicare le password via e-mail o SMS, e vietare l’uso di fogli di calcolo, foglietti adesivi e altri metodi non sicuri per tenere traccia delle password.
Un Password Manager facilita la protezione degli account dei social media generando automaticamente password efficaci, archiviandole in una cassaforte crittografata e consentendo ai dipendenti di condividere le credenziali in modo sicuro. Altri modi per proteggere gli account dei social media aziendali:
Attivare l’autenticazione a più fattori: quando attivi l’autenticazione a più fattori (MFA) su tutti gli account di social media che la supportano, aggiungi una protezione ulteriore.
Un altro vantaggio dei Password Manager è che consentono di memorizzare i codici 2FA nella cassaforte crittografata. In questo modo, se i dipendenti condividono le voci degli account con 2FA abilitata, non dovranno chiedere ai colleghi d’inviare il codice 2FA tramite canali non protetti come Slack o Teams. I dipendenti potranno accedere ai codici 2FA attraverso la voce condivisa, limitando il rischio di compromissione degli account.
Controllare gli accessi agli account dei dipendenti: controllare gli accessi agli account dei dipendenti e dei collaboratori tramite il controllo degli accessi basato sui ruoli (RBAC), insieme al principio dei privilegi minimi, limita l’accesso agli account dei social media aziendali solo ai dipendenti che ne hanno bisogno.
Abbonarsi a un servizio di monitoraggio del dark web: un servizio di monitoraggio del dark web, come Keeper BreachWatch®, ti avvisa immediatamente se sui forum dei cybercriminali sono in vendita password di account, consentendoti di agire e cambiare rapidamente tutte le password che devono essere cambiate.
L’assenza di una soluzione di gestione delle password dei social media centralizzata e sicura rende le organizzazioni vulnerabili alle minacce informatiche. Nelle agenzie di social media, le vulnerabilità hanno inizio durante la procedura di onboarding dei clienti.
- In genere, i clienti condividono le password dei social media con l’agenzia in modo non sicuro, tramite messaggi e-mail o SMS non crittografati, che possono essere intercettati dai cybercriminali.
- A volte, memorizzano le password su un foglio di calcolo o un file di testo, creando un singolo punto di vulnerabilità. Se il documento viene compromesso, tutti gli account dei clienti vengono compromessi.
- Oppure, utilizzano la stessa password per tutti i loro account di social media, e così si può essere certi che se un cybercriminale riesce a risalire alla password, potrà accedere a tutti gli account.
- In più, possono utilizzare password poco efficaci o che sono già state compromesse durante una violazione dei dati pubblici, rendendo gli account vulnerabili a furti di credenziali e attacchi di password spray.
Anche l’agenzia, una volta entrata in possesso delle credenziali di un cliente, può condividerle e archiviarle in modo non sicuro su un foglio di calcolo o un documento, su foglietti adesivi o tramite messaggi e-mail o SMS non crittografati. Alcune agenzie archiviano tutte le credenziali dei loro clienti in un unico “elenco principale”.
In genere, gli account dei social media aziendali vengono gestiti da team composti da personale amministrativo, designer, copywriter e altri specialisti di marketing e pubbliche relazioni. I membri del team possono essere dipendenti interni, collaboratori freelance o un insieme di entrambi. Più alto è il numero di persone che possono accedere alle credenziali di login di un account, maggiore è il rischio che queste credenziali vengano compromesse. Verizon ha stimato che il 57% delle violazioni dei dati è dovuto ad azioni negligenti o dolose da parte di qualcuno all’interno dell’azienda, mentre il 15% delle violazioni di dati è causato da un abuso intenzionale dei privilegi di login da parte del personale interno o di collaboratori esterni.
Non disporre di una gestione centralizzata delle password dei social media aumenta il livello di minaccia interna. Dipendenti e collaboratori possono archiviare singolarmente le credenziali dei clienti nei loro browser web o creare fogli di calcolo, documenti o note personalizzati. Quando ogni componente del team adotta un proprio “sistema” per archiviare le password degli account, l’organizzazione non ha alcuna visibilità sulle prassi adottate dai dipendenti o dai collaboratori in materia di password, né ha modo di disabilitare l’accesso quando uno di loro lascia l’azienda.
Senza la visibilità e il controllo centralizzati, le password degli account hanno maggiori probabilità di essere compromesse a causa di negligenza, imprudenza o azioni dolose da parte di dipendenti o eventuali ex dipendenti rancorosi. In mancanza di una soluzione di gestione delle password sicura, non è possibile proteggere gli account mediante 2FA o MFA, e questo aumenta la vulnerabilità degli account.
La compromissione degli account di social media va avanti da oltre un decennio. Quando un account di un’azienda o di una persona di alto profilo viene compromesso, le conseguenze possono essere gravi.
Una volta connessi a un account compromesso, i cybercriminali possono:
- Accedere alle informazioni d’identificazione personale (PII) e ad altri dati sensibili, che possono essere utilizzati per ricattare il proprietario dell’account o per futuri attacchi di social engineering.
- Modificare le impostazioni dell’account e bloccare il vero proprietario, quindi richiedere un riscatto per sbloccare l’account, oppure possono vendere l’account sul dark web. I nomi utente Instagram brevi e univoci possono costare tra i 500 e i 5000 dollari.
- Utilizzare la funzione di messaggistica diretta del canale di social media per inviare ai follower dell’account link dannosi, il che è particolarmente pericoloso se si pensa che gli utenti generalmente si fidano dei messaggi diretti inviati dalle persone e dai marchi che seguono.
- Pubblicare messaggi di spam o altri contenuti dannosi nel feed pubblico dell’account, arrecando un potenziale danno alla reputazione del marchio.
L’unico modo per assicurarsi che un’azienda protegga i propri account di social media è utilizzare un Password Manager. Inizia gratuitamente una prova aziendale di 14 giorni o una prova personale di 30 giorni per scoprire come Keeper Password Manager può aiutare te e la tua azienda a proteggere i tuoi account di social media, oltre a tutti i tuoi account online.