Cerca nel blog

2022/09/08

Dati a spasso nel cloud: un’azienda italiana ha lasciato accessibili le scansioni dei documenti dei clienti

Questo articolo è disponibile anche in versione podcast audio. Ultimo aggiornamento: 2022/09/09 13:00.

Il cloud è bello. Permette di accedere ai propri dati da qualunque dispositivo in qualunque momento, consente la condivisione e la collaborazione, riduce i costi aziendali. Ma quando è fatto male e configurato peggio, apre la strada a disastri di sicurezza e i dati personali diventano accessibili e rubabili da chiunque. Oggi vi racconto uno di questi disastri.

Mi è arrivata la segnalazione confidenziale, tramite un’app di messaggistica sicura, di un’azienda italiana che ha un bucket Amazon completamente aperto e world-readable che causa un data leak gravissimo.

Traduzione: le scansioni dei documenti d’identità dei clienti di quell’azienda sono leggibili e scaricabili da chiunque usando un semplice programma di navigazione, senza dover digitare password o altro, in violazione di tutti i princìpi e le leggi sulla protezione dei dati personali. Nomi, cognomi, fotografie, tessere sanitarie, moduli con indirizzi di casa e date di nascita, insomma tutto quello che serve per un furto di identità di massa o per una serie di truffe online, è aperto e a disposizione di qualunque saccheggiatore.

Partiamo dalle basi. Un bucket è un contenitore di dati del servizio cloud di Amazon. Molti utenti comuni non lo sanno, ma Amazon, oltre a essere un immenso negozio online, è anche un grandissimo fornitore di servizi cloud. In pratica, numerosissime aziende di tutto il mondo affittano spazio sui server di Amazon e vi depositano i propri dati. Invece di costruirsi un cloud interno, con tutti i costi e le complicazioni del caso, creano un cloud sui computer di Amazon.

Il problema è che se questo cloud non viene impostato correttamente, i dati sono accessibili a chiunque, ossia sono leggibili da tutto il mondo: world-readable, appunto. Basta digitare in un qualsiasi browser il nome del bucket dell’azienda, che è facilmente reperibile o intuibile, seguito da .s3.amazonaws.com, e si ottiene un elenco di tutti i file presenti nel bucket.

A quel punto diventa banale creare un programma o script che legga questo elenco e si scarichi tutti i file del bucket della malcapitata azienda, creando una fuga di dati, ossia un data leak, di proporzioni epiche.

E in effetti il caso che mi è stato segnalato è particolarmente imbarazzante e grave. Ho verificato personalmente che i dati dei clienti dell’azienda, circa un migliaio di file, sono perfettamente accessibili. Non faccio il nome dell’azienda per ovvie ragioni di sicurezza e mi limito a dire che si tratta di un nome piuttosto noto nel settore della fornitura di energia elettrica e di gas in Italia.

Vedo per esempio la carta d’identità di Francesca, che abita a Casalecchio di Reno, e anche la sua patente e la sua tessera sanitaria. Vedo i documenti di Aurora, nata a Bologna nel 1997, e quelli parecchio sgualciti di Roberto, nato a Prato nel 1975. Di queste persone vedo date di nascita, indirizzi di casa, fotografie a colori. E ce ne sono tante, tante altre, inconsapevoli del fatto che i loro dati personali sono a spasso sul Web. Se vi siete mai chiesti come fanno i criminali ad aprire conti correnti o abbonamenti telefonici o altri servizi senza usare i propri dati personali e farsi tracciare, ora avete la risposta.

---

Ora che l’emorragia di dati è accertata, resta il problema di cosa fare. È impraticabile contattare i singoli utenti per avvisarli che le scansioni dei loro documenti sono accessibili via Internet e che quindi devono fare attenzione a eventuali attivazioni fraudolente di servizi a loro nome ed eventualmente denunciare l’azienda in questione per violazione delle norme sulla riservatezza dei dati. Gli utenti da contattare sarebbero troppi, e comunque molti di loro sarebbero diffidenti verso chiunque li contattasse con un avviso del genere.

Le vittime dell’errore informatico resteranno quindi, purtroppo, all’oscuro di tutto. Si potrebbe allora contattare l’azienda in questione e avvisarla. Ma chi mi ha segnalato il problema dice di averlo già fatto, senza ottenere risultato. L’ho fatto anch’io, trovando con fatica nel sito dell’azienda l’indirizzo di mail del responsabile per la protezione dei dati, e gli ho scritto avvisandolo che avrei raccontato pubblicamente la vicenda. Al momento in cui registro questo podcast non ho ancora avuto risposta. Ma un primo risultato sembra che ci sia: poco dopo l’invio della mia mail, i dati non risultano più accessibili. Forse la segnalazione ha avuto effetto.

Purtroppo capita spesso che le aziende facciano invece finta di niente e continuino a lasciare in bella vista i dati dei loro clienti nonostante siano state ampiamente avvisate. In casi come questi si finisce per fare una segnalazione al Garante per la privacy [in Svizzera si fa all’Incaricato Federale per la Protezione dei Dati], che prende poi i provvedimenti del caso, che possono includere sanzioni molto elevate.

Queste sanzioni per chi commette errori grossolani dovrebbero in teoria fare da deterrente e indurre le aziende a lavorare con più attenzione, ma non sempre è così. In ogni caso, le sanzioni non risolvono il problema che le informazioni personali degli utenti sono ormai disseminate su Internet e non c’è modo di riprenderle. E ovviamente dati come la data di nascita o il nome e cognome non sono modificabili in caso di furto come si fa con le password.

L’unica, magra consolazione è che almeno alcuni dei documenti hanno una data di scadenza, per cui fra qualche anno le loro scansioni non saranno utilizzabili. Nel frattempo, a noi utenti, ai quali viene chiesto continuamente di mandare scansioni di documenti per fare acquisti e attivazioni online di ogni genere, non resta che alzare la guardia, rifiutando se possibile queste scansioni e facendo attenzione a eventuali avvisi di attivazione di servizi o di acquisti sospetti.

---

Addendum post-podcast 1: Molti commentatori mi hanno giustamente chiesto come mai non ho segnalato alle autorità, per esempio alla Polizia Postale, questa violazione delle norme sulla protezione dei dati, dato che si tratta quasi sicuramente di un reato di cui ho notizia. La risposta è che ho scelto la strada che prometteva di tutelare più rapidamente le vittime di questa situazione, ossia i titolari dei documenti pubblicati online.

Se avessi fatto la segnalazione alla Postale o al Garante Privacy italiano, ci sarebbe stata l’incognita dei suoi tempi di intervento, oltre al tempo che avrei dovuto spendere per spiegare in dettaglio l’accaduto e per rispondere all’inevitabile domanda “Ma lei come ha fatto a scoprirlo?” che mi avrebbe portato a dover spiegare tutta la questione delle fonti confidenziali e della loro tutela giornalistica. Mandando una mail direttamente all’azienda, invece, c’era la speranza che ci sarebbe stato un intervento immediato, e stavolta è andata così. Se non ci fosse stato l’intervento, a quel punto avrei seguito la strada ben più lenta e tortuosa della segnalazione alle autorità competenti.

In questo caso è bastata una normale mail (neanche una PEC) molto concisa al DPO (data protection officer o responsabile per la protezione dei dati) dell'azienda. Questa:

Buongiorno, sono un giornalista informatico. Vi segnalo che un vostro
bucket Amazon è completamente aperto e accessibile a chiunque,
consentendo di accedere a scansioni di documenti personali.

Link di esempio:

https://[omissis].amazonaws.com/filled/[omissis].JPG

Sto preparando un articolo sulla vicenda, nel quale non citerò
esplicitamente il nome della vostra azienda per tutelare i vostri clienti.

Naturalmente è opportuno che provvediate a chiudere questa vulnerabilità.

Vi chiedo, se possibile, un commento pubblicabile sulla questione.
L'articolo sarà pubblicato tra circa due ore su Disinformatico.info.

Cordiali saluti

Paolo Attivissimo

Sono passate ormai quasi 24 ore da quando ho inviato la mail, ma non ho ancora ricevuto nessuna comunicazione da parte del DPO, nemmeno un semplice “grazie”. Presumo che non arriverà mai. 

---

Addendum post-podcast 2: Dai commenti arriva un suggerimento protettivo interessante: quando si fa una scansione/fotocopia di un documento di identità, apporre sopra l’immagine una dicitura del tipo “Scansione ad uso esclusivo di [NomeAzienda]”. In caso di fuga di dati, questo permette di tracciarne la fonte; in caso di uso fraudolento di una scansione o fotocopia, mette in allarme l’azienda alla quale viene inviata indebitamente.

Nessun commento: