Dati a spasso nel cloud

Un'azienda italiana ha lasciato accessibili le scansioni dei documenti dei clienti.



[ZEUS News - www.zeusnews.it - 09-09-2022]

cid

Il cloud è bello. Permette di accedere ai propri dati da qualunque dispositivo in qualunque momento, consente la condivisione e la collaborazione, riduce i costi aziendali. Ma quando è fatto male e configurato peggio, apre la strada a disastri di sicurezza e i dati personali diventano accessibili e rubabili da chiunque. Oggi vi racconto uno di questi disastri.

Mi è arrivata la segnalazione confidenziale, tramite un'app di messaggistica sicura, di un'azienda italiana che ha un bucket Amazon completamente aperto e world-readable che causa un data leak gravissimo.

Traduzione: le scansioni dei documenti d'identità dei clienti di quell'azienda sono leggibili e scaricabili da chiunque usando un semplice programma di navigazione, senza dover digitare password o altro, in violazione di tutti i princìpi e le leggi sulla protezione dei dati personali. Nomi, cognomi, fotografie, tessere sanitarie, moduli con indirizzi di casa e date di nascita, insomma tutto quello che serve per un furto di identità di massa o per una serie di truffe online, è aperto e a disposizione di qualunque saccheggiatore.

Partiamo dalle basi. Un bucket è un contenitore di dati del servizio cloud di Amazon. Molti utenti comuni non lo sanno, ma Amazon, oltre a essere un immenso negozio online, è anche un grandissimo fornitore di servizi cloud. In pratica, numerosissime aziende di tutto il mondo affittano spazio sui server di Amazon e vi depositano i propri dati. Invece di costruirsi un cloud interno, con tutti i costi e le complicazioni del caso, creano un cloud sui computer di Amazon.

Il problema è che se questo cloud non viene impostato correttamente, i dati sono accessibili a chiunque, ossia sono leggibili da tutto il mondo: world-readable, appunto. Basta digitare in un qualsiasi browser il nome del bucket dell'azienda, che è facilmente reperibile o intuibile, seguito da .s3.amazonaws.com, e si ottiene un elenco di tutti i file presenti nel bucket.

A quel punto diventa banale creare un programma o script che legga questo elenco e si scarichi tutti i file del bucket della malcapitata azienda, creando una fuga di dati, ossia un data leak, di proporzioni epiche.

E in effetti il caso che mi è stato segnalato è particolarmente imbarazzante e grave. Ho verificato personalmente che i dati dei clienti dell'azienda, circa un migliaio di file, sono perfettamente accessibili. Non faccio il nome dell'azienda per ovvie ragioni di sicurezza e mi limito a dire che si tratta di un nome piuttosto noto nel settore della fornitura di energia elettrica e di gas in Italia.

Vedo per esempio la carta d'identità di Francesca, che abita a Casalecchio di Reno, e anche la sua patente e la sua tessera sanitaria. Vedo i documenti di Aurora, nata a Bologna nel 1997, e quelli parecchio sgualciti di Roberto, nato a Prato nel 1975. Di queste persone vedo date di nascita, indirizzi di casa, fotografie a colori. E ce ne sono tante, tante altre, inconsapevoli del fatto che i loro dati personali sono a spasso sul Web. Se vi siete mai chiesti come fanno i criminali ad aprire conti correnti o abbonamenti telefonici o altri servizi senza usare i propri dati personali e farsi tracciare, ora avete la risposta.

Ora che l'emorragia di dati è accertata, resta il problema di cosa fare. È impraticabile contattare i singoli utenti per avvisarli che le scansioni dei loro documenti sono accessibili via Internet e che quindi devono fare attenzione a eventuali attivazioni fraudolente di servizi a loro nome ed eventualmente denunciare l'azienda in questione per violazione delle norme sulla riservatezza dei dati. Gli utenti da contattare sarebbero troppi, e comunque molti di loro sarebbero diffidenti verso chiunque li contattasse con un avviso del genere.

Le vittime dell'errore informatico resteranno quindi, purtroppo, all'oscuro di tutto. Si potrebbe allora contattare l'azienda in questione e avvisarla. Ma chi mi ha segnalato il problema dice di averlo già fatto, senza ottenere risultato. L'ho fatto anch'io, trovando con fatica nel sito dell'azienda l'indirizzo di mail del responsabile per la protezione dei dati, e gli ho scritto avvisandolo che avrei raccontato pubblicamente la vicenda. Al momento in cui registro questo podcast non ho ancora avuto risposta. Ma un primo risultato sembra che ci sia: poco dopo l'invio della mia mail, i dati non risultano più accessibili. Forse la segnalazione ha avuto effetto.

Purtroppo capita spesso che le aziende facciano invece finta di niente e continuino a lasciare in bella vista i dati dei loro clienti nonostante siano state ampiamente avvisate. In casi come questi si finisce per fare una segnalazione al Garante per la privacy [in Svizzera si fa all'Incaricato Federale per la Protezione dei Dati], che prende poi i provvedimenti del caso, che possono includere sanzioni molto elevate.

Queste sanzioni per chi commette errori grossolani dovrebbero in teoria fare da deterrente e indurre le aziende a lavorare con più attenzione, ma non sempre è così. In ogni caso, le sanzioni non risolvono il problema che le informazioni personali degli utenti sono ormai disseminate su Internet e non c'è modo di riprenderle. E ovviamente dati come la data di nascita o il nome e cognome non sono modificabili in caso di furto come si fa con le password.

L'unica, magra consolazione è che almeno alcuni dei documenti hanno una data di scadenza, per cui fra qualche anno le loro scansioni non saranno utilizzabili. Nel frattempo, a noi utenti, ai quali viene chiesto continuamente di mandare scansioni di documenti per fare acquisti e attivazioni online di ogni genere, non resta che alzare la guardia, rifiutando se possibile queste scansioni e facendo attenzione a eventuali avvisi di attivazione di servizi o di acquisti sospetti.

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (5993 voti)
Leggi i commenti (17)

Addendum post-podcast 1: Molti commentatori mi hanno giustamente chiesto come mai non ho segnalato alle autorità, per esempio alla Polizia Postale, questa violazione delle norme sulla protezione dei dati, dato che si tratta quasi sicuramente di un reato di cui ho notizia. La risposta è che ho scelto la strada che prometteva di tutelare più rapidamente le vittime di questa situazione, ossia i titolari dei documenti pubblicati online.

Se avessi fatto la segnalazione alla Postale o al Garante Privacy italiano, ci sarebbe stata l'incognita dei suoi tempi di intervento, oltre al tempo che avrei dovuto spendere per spiegare in dettaglio l'accaduto e per rispondere all'inevitabile domanda "Ma lei come ha fatto a scoprirlo?" che mi avrebbe portato a dover spiegare tutta la questione delle fonti confidenziali e della loro tutela giornalistica. Mandando una mail direttamente all'azienda, invece, c'era la speranza che ci sarebbe stato un intervento immediato, e stavolta è andata così. Se non ci fosse stato l'intervento, a quel punto avrei seguito la strada ben più lenta e tortuosa della segnalazione alle autorità competenti.

In questo caso è bastata una normale mail (neanche una PEC) molto concisa al DPO (data protection officer o responsabile per la protezione dei dati) dell'azienda. Questa:

Buongiorno, sono un giornalista informatico. Vi segnalo che un vostro
bucket Amazon è completamente aperto e accessibile a chiunque,
consentendo di accedere a scansioni di documenti personali.

Link di esempio:

https://[omissis].amazonaws.com/filled/[omissis].JPG

Sto preparando un articolo sulla vicenda, nel quale non citerò
esplicitamente il nome della vostra azienda per tutelare i vostri clienti.

Naturalmente è opportuno che provvediate a chiudere questa vulnerabilità.

Vi chiedo, se possibile, un commento pubblicabile sulla questione.
L'articolo sarà pubblicato tra circa due ore su Disinformatico.info.

Cordiali saluti

Paolo Attivissimo

Sono passate ormai quasi 24 ore da quando ho inviato la mail, ma non ho ancora ricevuto nessuna comunicazione da parte del DPO, nemmeno un semplice "grazie". Presumo che non arriverà mai.

Addendum post-podcast 2: Dai commenti arriva un suggerimento protettivo interessante: quando si fa una scansione/fotocopia di un documento di identità, apporre sopra l'immagine una dicitura del tipo "Scansione ad uso esclusivo di [NomeAzienda]". In caso di fuga di dati, questo permette di tracciarne la fonte; in caso di uso fraudolento di una scansione o fotocopia, mette in allarme l'azienda alla quale viene inviata indebitamente.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Disabilitare il log dei dati in Windows 10
Grave falla nelle VPN: l'indirizzo IP diventa visibile
Tutti quelli che ci spiano (e come bloccarli)
La banca dati dei morosi della bolletta telefonica
Ricerche fatte a voce? Google le ha registrate

Commenti all'articolo (ultimi 5 di 20)

Anche fosse, per assurdo, che proporresti? Chi ha rubato le credenziali di accesso ai conti e/o alle carte, può fare altrettanto per il controllo dei telefoni (e spesso lo fa, visto che di solito si colpisce attraverso lo smartphone prima che per altri canali). Poi che facciamo, chiediamo la fotografia della retina? Questo illudersi... Leggi tutto
23-9-2022 10:35

{Passante}
Il furto delle credenziali è un problema dei gestori delle carte che non chiedono neanche una conferme via SMS per le transazioni sospette. Questa cattiva gestione non è (e non deve essere) una responsabilità del negozio. A prescindere se ci sia un contratto o no. Bisogna combattere questo atteggiamento.... Leggi tutto
22-9-2022 16:38

Non se hanno rubato le credenziali. Leggi tutto
22-9-2022 08:33

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
L'EASA e la FAA hanno dato il via libera all'uso di tablet, cellulari e dispositivi elettronici in generale in aereo anche durante decollo e atterraggio. Secondo te...
...era ora: il divieto era ormai diventato un anacronismo da abolire.
...avrebbero dovuto mantenere il divieto: la sicurezza val bene qualche minuto di rinuncia al tablet.
...dovrebbero fare di più e liberalizzare anche la possibilità di telefonare.

Mostra i risultati (1397 voti)
Settembre 2022
Da Amazon un Kindle su cui si può anche scrivere
La “tanica di benzina” per le auto elettriche
La strana storia dell'utente HME2 di Arpanet
LibreOffice diventa a pagamento
2022, fuga dall'open source
Dati a spasso nel cloud
Di chi sono i tuoi dati quando muori?
Smartphone, l'UE vuole pezzi di ricambio disponibili per almeno 5 anni
Ex designer di Microsoft demolisce il menu Start di Windows 11
Auto Hyundai “hackerata”
Agosto 2022
Genitori indagati dopo aver mandato foto dei figli ai medici
DuckDuckGo, la protezione delle email è per tutti
Il computer portatile economico che fa a meno del monitor
Microsoft avvisa: attenzione all'aggiornamento KB501270
WhatsApp, arriva il blocco degli screenshot
Tutti gli Arretrati
Accadde oggi - 2 ottobre


web metrics