Se vi siete mai iscritti a Moneyboxtv, forse i vostri documenti sono a spasso su Internet

Moneyboxtv.com è un servizio che prometteva agli iscritti di “guadagnare semplicemente guardando la TV” grazie a un “decoder” da ben 249 euro. Diceva che sarebbe diventato “il più grande bacino di utenza al mondo per la presentazione di Offerte commerciali attraverso la televisione, garantendo la più grande capacità di fidelizzazione della clientela che sia mai stata anche solo immaginata da qualsiasi struttura commerciale”. Un obiettivo piuttosto ambizioso, insomma, di cui però non rimane più traccia.

Il sito Moneyboxtv.com è infatti deserto. Ne resta solo il ricordo presso Archive.org, che lo immortalava a marzo 2018 come mostrato nella schermata qui accanto.

Ma in realtà Moneybox ha lasciato un altro ricordo di sé, oltre a quello degli abbonati presumibilmente delusi e rimasti con un decoder inutile, residuato di quello che aveva le caratteristiche di un marketing multilivello: i dati personali di quegli abbonati, liberamente scaricabili da chiunque perché erano custoditi dall’azienda su un bucket di Amazon maldestramente configurato.

Scansioni di carte d’identità, codici fiscali, tessere sanitarie, numeri di conto corrente, bollette italiane ed estere, corrispondenza con la Rake Business Ltd, titolare maltese di Moneyboxtv.com, e molto altro ancora; insomma tutto il necessario per compiere truffe e furti d’identità, oltre che una chiara violazione delle norme sulla privacy e la custodia delle informazioni digitali.

Questi sono alcuni esempi fra i tanti, ai quali ho mascherato i dati identificativi:

La segnalazione della presenza online di circa 2900 documenti personali mi è arrivata da un lettore che desidera restare anonimo e che ringrazio.

Il 23 agosto 2018 ho inviato un messaggio alla pagina Facebook di Moneyboxtv, avvisando che i dati dei clienti erano accessibili a chiunque tramite il loro bucket Amazon, fornendo esempi. A distanza di quasi due mesi non c’è stata nessuna risposta.

Il 24 agosto ho segnalato la vicenda alle autorità italiane, specificamente al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). I dati ora non sono più accessibili.

La falla di privacy è stata quindi chiusa, ma è importante allertare le vittime. Non posso farlo contattandole singolarmente per via del loro numero molto elevato, ma perlomeno posso segnalare qui il nome dell’azienda e sperare che le vittime lo cerchino in Google e vengano a conoscenza del fatto che immagini dei loro documenti personali sono state a lungo in circolazione e potrebbero quindi essere usate per compiere reati usando le loro identità.