A fine febbraio ho segnalato il caso di un’azienda italiana, che gestisce prenotazioni online per ristoranti, che aveva lasciato accessibile online quello che sembrava essere un archivio dei dati dei propri clienti (circa 140.000).
L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare pubblicamente il nome dell’azienda.
Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.
Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale (un esempio è qui), ne segnalo alcuni:
- Shodan.io
- Binaryedge.io
- Zoomeye.org
- Censys.io
- FoFa.so
Prima che me lo chiediate: consultare questi servizi, dopo aver creato un account, è legale e non costituisce violazione di domicilio informatico, visto che visitate le pagine di questi motori di ricerca e non quelle dei siti contenenti dati vulnerabili. Ma abusare delle informazioni contenute in questi servizi per violare un sistema informatico è palesemente illegale.
Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.
2019/03/08 16:25
Come non detto: poco dopo la pubblicazione iniziale di questo articolo mi è arrivata la segnalazione che un altro database della stessa azienda, con i dati di circa 1000 account, è online, senza password (basta conoscerne l’indirizzo IP) e pubblicamente accessibile in lettura e (presumo) scrittura o cancellazione, presso un indirizzo IP diverso da quello precedente.
Visto che il problema si ripete, ho allertato via mail la Polizia Postale fornendo tutti i dettagli. Sarà così possibile capire se si tratta di un database di clienti reali, messo online senza alcun riguardo per GDPR e protezione dei clienti, o se si tratta di un database di prova.
2019/03/09 13:20
Ho contattato alcuni degli indirizzi di mail presenti nel database e tre di essi hanno risposto: si tratta di indirizzi di ex dipendenti. Uno di loro mi ha telefonato ieri sera ed è riuscito ad allertare gli ex colleghi. A quanto pare il database era concepito per contenere dati fittizi di prova che però erano frammisti anche a dati autentici. Il database è stato rimosso: al suo indirizzo IP non viene più esposta l’interfaccia di gestione.
Nessun commento:
Posta un commento