Cerca nel blog

2018/09/07

Migliaia di documenti d’identità liberamente scaricabili online nei “bucket” non protetti

Si fa un gran parlare di protezione dei dati digitali, GDPR (regolamento generale sulla protezione dei dati) e relative sanzioni, per cui sembra ragionevole pensare che le aziende siano ben attente nel gestire i dati dei clienti. Il GDPR, in particolare, prevede sanzioni talmente pesanti in caso di fuga di dati sensibili che parrebbe ovvio e inevitabile investire in misure di sicurezza.

È di ieri la notizia della fuga di dati del database di Rousseu, la piattaforma del Movimento 5 Stelle, già protagonista di una precedente fuga: trovate i dettagli su DavidPuente.it e in questo articolo di Martina Pennisi sul Corriere della Sera online. Ma non è certo un caso isolato.

In queste settimane ho seguito un tipo molto specifico di fughe di dati: quelle tramite i bucket di Amazon. I bucket sono degli spazi a noleggio per la custodia dei dati. In pratica, un’azienda, invece di investire in un proprio server nel quale depositare i propri dati, può affittare spazio sui server di Amazon e mettere lì i dati. Amazon garantisce spazio e traffico a volontà: basta pagare.

Il grosso vantaggio è la flessibilità: una piccola azienda può espandersi in fretta senza dover aspettare di comperare dei propri server aggiuntivi, affittando invece spazio su Amazon. Due clic e lo spazio raddoppia, triplica, si decuplica. Quando non serve più si abbandona.

Il problema è che se il bucket non viene configurato correttamente, i dati sono accessibili a chiunque, perché hanno un link pubblico. E non è difficile scovarli. Questo è un esempio di un bucket lasciato aperto, riguardante un’azienda russa:




Basta cliccare su uno qualsiasi dei link e compaiono scansioni di passaporti come questa (ho mascherato io i dati in tutte le immagini seguenti):




In un altro bucket ci sono dati sanitari italiani:




Altrove ci sono backup di database, tessere sanitarie, password, tabelle di contabilità, documenti di tribunali:


Estratti conto di una banca messicana:



La cosa curiosa è che alcuni bucket sono già stati visitati da qualcuno che ha lasciato un cortese avviso:

Hello,
This is a friendly warning that your Amazon AWS S3 bucket settings are wrong.
Anyone can write to this bucket.
Please fix this before a bad guy finds it.

Insomma, il problema è piuttosto diffuso e largamente ignorato.

Magari vi state chiedendo quali tipi di reato si possano compiere realisticamente con una scansione di un documento d’identità. Non voglio regalare spunti criminogeni a nessuno, per cui mi limito a un solo esempio già divulgato: ricordate la truffa “Questa è la tua password, sappiamo che hai visitato siti porno, ti abbiamo registrato, ora paga altrimenti diffonderemo il video”? Ne avevo parlato a luglio scorso.

Immaginate quanto diventa più credibile questa truffa se il suo messaggio dichiara di provenire dalla polizia e include i vostri dati anagrafici, il vostro numero di telefono e il numero di un vostro documento e vi intima di pagare una multa per evitare conseguenze più gravi.

Cosa si fa quando ci si imbatte in casi come questi? La soluzione più diretta sembrerebbe essere quella di contattare le aziende responsabili, ma ve lo sconsiglio: quando lo faccio io, pur qualificandomi come giornalista e informatico, la maggior parte delle volte non vengo creduto.

La cosa più efficace è segnalare dettagliatamente il tutto alle autorità apposite: per esempio, in Svizzera ci sono l’apposita pagina dell’Ufficio Federale di Polizia e quella di MELANI (la ); in Italia ci si rivolge al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Che è quello che ho fatto io per questi casi. Speriamo in bene.

Nessun commento: