Cerca nel blog

2023/02/03

Podcast RSI - Dati personali pubblicati per errore su Internet: tre casi concreti

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: La richiesta di “password” da Eyes Wide Shut di Stanley Kubrick]

Ci sono tanti modi per scoprire le password e i dati personali di qualcuno. Spesso i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma altrettanto spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet a chiunque abbia una minima capacità informatica. La colpa, insomma, non è del titolare dei dati, ma di chi è tenuto a custodire i dati degli altri.

Sono Paolo Attivissimo, e in questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica, vi racconto tre episodi recentissimi di dati personali trovati a spasso su Internet, le tecniche usate per trovarli, e le trappole usate dai criminali informatici per sfruttare quei dati, partendo da informazioni banali come un’ordinazione di caffé. Due di queste storie hanno un lieto fine: la terza, almeno per ora, ha un finale aperto.

[SIGLA di apertura]

Assicurati poco rassicuranti

Pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora, tutto tranquillamente sfogliabile e leggibile con un normale browser. Tutto quello che serve sapere per leggerli è l’indirizzo IP del sito.

Trovare questo indirizzo IP non è difficile. Esistono motori di ricerca appositi, come Shodan, che in sostanza fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, ma a differenza di Google, che rastrella tutti i testi e tutte le immagini, questi motori di ricerca prendono nota solo dei siti che hanno degli accessi non protetti. È sufficiente sfogliare Shodan per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come quella che mi è stata segnalata. Esattamente come con Google, è sufficiente immettere le parole chiave giuste, facilmente intuibili: nomi di marche famose di telecamere o di apparati di controllo industriale oppure frasi descrittive tipiche degli archivi di dati online. E a volte queste stesse parole chiave sono usabili direttamente in Google, senza neppure dover ricorrere a motori di ricerca specializzati.

Fra l’altro, la facilità con la quale questi dati assicurativi teoricamente privati sono reperibili è dimostrata nella maniera più evidente da una riga molto particolare dell’elenco dei clienti di questo servizio assicurativo. Al posto del nome e cognome del cliente, in questa riga c’è una vistosa dicitura, tutta in maiuscolo: “BUONGIORNO QUESTO DATABASE È ACCESSIBILE A CHIUNQUE VIA INTERNET”.

Chiaramente qualcuno è già passato di qui, ha notato i dati personali pubblicamente accessibili, e ha scelto un modo molto diretto per avvisare i responsabili del sito.

La presenza di questo avviso, inoltre, segnala altrettanto chiaramente che i dati non sono soltanto leggibili, ma sono anche scrivibili da chiunque via Internet. Questo vuol dire che chiunque può alterarli o semplicemente cancellarli. Un avviso del genere è l’equivalente informatico di trovare un volantino di una società di installazione di antifurto dentro casa, sul tavolo in cucina.

Non è una bella situazione, soprattutto per gli assicurati elencati, e così sono andato a frugare pazientemente nei dati e nei documenti pubblicamente accessibili, vi ho trovato l’indirizzo di mail di quella che sembra essere la ditta responsabile e l’ho avvisata della situazione.

Nel giro di poche ore le pagine sono state disattivate, non so se per merito dell’avviso lasciato nei dati stessi oppure della mia segnalazione via mail. Quei dati sono ancora reperibili in Google, che ne conserva temporaneamente memoria nella sua cache, ma perlomeno non sono più alterabili da qualunque malintenzionato in vena di dispetti.

Mi è poi arrivato su Telegram un messaggio di qualcuno che sembra parlare a nome della ditta coinvolta e dice che si trattava di “una versione alfa non in produzione” che conteneva “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione: posso solo notare che erano “costruiti coerentemente” con un realismo e un dettaglio davvero straordinari per essere dei dati fittizi, e posso solo sperare che la versione definitiva sarà un po’ meno accessibile e disinvoltamente scrivibile di questa, perché in ogni caso provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica. E non è l’unica prassi del suo genere che viene disattesa, come vi racconterò tra un attimo.

Screenshot e dettagli: https://attivissimo.blogspot.com/2023/01/poi-la-gente-si-chiede-come-mai-i-dati.html

Dati sanitari lombardi a spasso

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente, così come non basta lasciare la chiave di casa sotto lo zerbino e sperare che nessuno la trovi.

I motori di ricerca generalisti, come Google, permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono anche i motori di ricerca specializzati, come il già citato Shodan oppure Binaryedge, Zoomeye o Censys, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Sempre pochi giorni fa mi è stato segnalato un servizio di soccorso sanitario della Lombardia che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle patenti di numerosi soccorritori volontari o professionisti.

Chiunque può leggere, per esempio, che il primo febbraio scorso Mattea doveva essere trasportata da Predore a Sarnico; che il 2 febbraio Mario, telefono 34879 eccetera, doveva essere portato da Villongo all’ospedale di Iseo, o che il 14 febbraio prossimo la signora Teresa, telefono 32987 eccetera, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via. E per ciascun utente è indicata anche la situazione medica che rende necessario il trasporto. E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore, che riguarda tutti i casi di dati pubblicati online inconsapevolmente: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte.

Giusto per fare un esempio, si può immaginare un truffatore o malintenzionato che telefoni a quella signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dica che il suo trasporto (quello di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo. Probabilmente la signora ci crederebbe e aprirebbe la porta di casa al finto incaricato.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa grave violazione della privacy sanitaria e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante per la protezione dei dati personali; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.

Ho segnalato pubblicamente sui social network e nel mio blog questa situazione, ovviamente mascherando i dati personali delle persone coinvolte, e così sono stato contattato dall’Agenzia Regionale Emergenza Urgenza della Lombardia, che con i dettagli che ho fornito è riuscita a risalire all’associazione di soccorso coinvolta in questa vicenda e a contattare i responsabili. Ora i dati non sono più accessibili via Internet.

Tutto è bene quel che finisce bene, insomma, ma sarebbe meglio per tutti se storie come questa non iniziassero nemmeno.

Screenshot e dettagli: https://attivissimo.blogspot.com/2023/01/dati-spasso-nomi-cognomi-firme-e-altri.html

Per una truffa online basta un’ordinazione di caffè

[CLIP: Sofia Loren parla di caffè in Questi fantasmi]

Il terzo caso di questa carrellata di dati a spasso è in apparenza banale. Tutto inizia con una delle tante segnalazioni che mi arrivano: una pagina Web, pubblicamente accessibile, che ospita una serie di caselle per l’immissione di dati. Un form, in gergo informatico.

Il form cita una società di logistica italiana, che però non ha colpa; la pagina è probabilmente di un’azienda che usa questa società di logistica per le proprie spedizioni di merci.

Non sembra molto interessante, ma come capita spesso in questi casi anche questo form ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente Invio, senza immettere nulla, elenca tutti i dati dell’intero archivio, che sono circa un migliaio di schede separate. Questa è una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.

Ognuna di quelle schede permette di vedere i dettagli dei clienti: per esempio quelli dell’azienda in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Lo so, conoscere nomi e cognomi di chi compra caffè non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella, quella di Genova, spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto.

Il criminale potrebbe conquistarsi facilmente la fiducia della vittima, descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora” dice chiamandola per cognome “mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno in questa trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi il criminale troverà qualcuno che ci cadrà. E gli basterà avere successo solo una volta ogni tanto.

È questo il problema generale dei dati lasciati a spasso: singolarmente possono sembrare innocui o poco importanti, ma sono dei punti di appiglio utilissimi per i criminali informatici. Per questo esistono standard tecnici e leggi che regolamentano severamente la gestione dei dati personali. Leggi che purtroppo non sempre vengono rispettate e che spesso vengono viste solo come una scocciatura o una complicazione inutile.

Purtroppo in questo caso non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web. Ho provato a contattare via mail alcuni clienti per chiedere se se la sentissero di dirmi il nome della ditta alla quale avevano fatto l’ordinazione, ma finora non ho avuto nessuna risposta. Il passo successivo sarebbe una segnalazione formale al Garante per la protezione dei dati. Nel frattempo quei dati restano a disposizione di qualunque malintenzionato.

Screenshot e dettagli: https://attivissimo.blogspot.com/2023/02/dati-spasso-nomi-cognomi-e-indirizzi-di.html

Conclusioni

Quelli che ho raccontato sono solo tre piccoli esempi di data leak, ossia di disseminazione non intenzionale di dati personali, che mi sono capitati fra le mani nel giro di pochi giorni e non fanno notizia perché non riguardano milioni di persone in un sol colpo ma in realtà sono purtroppo la normalità quotidiana della gestione non sempre diligente delle nostre informazioni digitali. Per fortuna esistono persone che invece di approfittare di questi incidenti perfettamente evitabili lasciano avvisi o mandano segnalazioni; è grazie a loro che ho potuto raccontarvi queste storie e avvisare, almeno due volte su tre, i responsabili.

Se vi state chiedendo come mai in questa piccola rassegna di naufragi informatici non ci siano siti svizzeri, la risposta è che i data leak avvengono anche nella Confederazione, ma hanno caratteristiche diverse. Così diverse che meritano una puntata a parte.

Grazie per aver seguito questa puntata del Disinformatico, una produzione della RSI Radiotelevisione svizzera; gli spezzoni sonori sono stati tratti dai film Eyes Wide Shut di Stanley Kubrick e Questi fantasmi di Renato Castellani. Questo podcast viene pubblicato ogni venerdì mattina presso www.rsi.ch/ildisinformatico, dove trovate anche le puntate precedenti. Questa serie di podcast è disponibile anche su tutte le principali piattaforme podcast.

Tutti i link ai siti citati e alle fonti di riferimento sono pubblicati presso Disinformatico.info. Se avete commenti, correzioni o segnalazioni, potete scrivermi una mail all’indirizzo paolo.attivissimo@rsi.ch. A presto.

Nessun commento: