Data Risk Manager (DRM) è un prodotto che IBM propone per “svelare, analizzare e visualizzare” i rischi aziendali connessi all’uso dei dati, ma DRM è anche un tool fallato contenente almeno quattro vulnerabilità di sicurezza potenzialmente molto gravi. Falle che Big Blue si era fin qui rifiutata persino di riconoscere come un problema.
A individuare le vulnerabilità è stato Pedro Ribeiro, ricercatore di sicurezza che ha scavato nel codice della suite DRM (basata su Linux) scoprendo problemi con l’autenticazione, l’injection di comandi, l’uso di password di default insicure e il download arbitrario di file. Prese tutte assieme, le quattro vulnerabilità possono essere sfruttate per eseguire codice malevolo da remoto con privilegi di root.
![Breccia di Sicurezza](https://www.pcprofessionale.it/wp-content/uploads/2019/01/Breccia-Sicurezza-640x360.jpg)
La gravità del problema avrebbe dovuto spingere IBM a ringraziare il ricercatore e poi mettere mano al codice di DRM, ma stando a quanto sostiene Ribeiro la corporation si è comportata in maniera diametralmente opposta. Secondo IBM il rapporto di Ribeiro non rientrava nel programma aziendale di disclosure delle falle di sicurezza a causa del supporto a pagamento.
Il ricercatore ha dunque deciso di pubblicare le informazioni sulle vulnerabilità tramite GitHub, e solo a quel punto IBM ha cambiato opinione sulla faccenda: ora la risposta iniziale al lavoro di Ribeiro viene indicata come “impropria” e causata da un errore non voluto, mentre l’azienda sta implementando misure di “mitigazione” (quindi non necessariamente patch correttive) che verranno discusse in un bollettino di sicurezza futuro.