Una serie di incidenti resi noti negli ultimi giorni alimenta la discussione sulla scarsa attenzione ai dati esposti in rete attraverso servizi di cloud storage. Con disarmante frequenza apprendiamo di informazioni accessibili da chiunque in rete, che sono memorizzate prive di protezione su servizi di archiviazione cloud.
Esposti online senza protezione
La settimana è iniziata con la divulgazione di una notizia sconcertante: i ricercatori della azienda di cyber security UpGuard hanno scoperto che migliaia di file contenenti i dati personali di ex militari statunitensi, personale dell’intelligence e contractor sono stati esposti online senza alcuna protezione per mesi. La violazione dei dati è stata inizialmente attribuita alla società di sicurezza TigerSwan, ma la società ha precisato di aver incaricato un’altra azienda per la selezione del personale che quindi è risultata responsabile della divulgazione delle informazioni. I dati includono indirizzi, numeri di telefono e account di posta elettronica privati.
9.400 file sensibili accessibili a chiunque
Secondo il sito web Gizmodo.com, circa 9.400 file sensibili erano accessibili a chiunque su un server cloud di Amazon in una cartella chiamata “resume” (curricula). Alcuni dei profili esposti sono relativi a personale operante nel settore di intelligence che dispone di autorizzazione all’accesso di informazioni ritenute top secret. Questi professionisti si sono candidati per un incarico presso la famigerata società di sicurezza TigerSwan, ignari che i loro dati erano alla mercé di chiunque in rete. I documenti esposti includono migliaia di curriculum di cittadini statunitensi, molti dei quali hanno lavorato con le principali agenzie di intelligence americane (CIA, NSA e Servizi Segreti).
Le conseguenze dell’incidente
Le conseguenze dell’incidente potrebbero essere serie, alcuni dei candidati sono stati impegnati in operazioni militari americane classificate come segrete. Secondo la società UpGuard, almeno uno dei candidati ha affermato di essere stato incaricato del trasporto di codici di attivazione per testate nucleari, un altro era impegnato presso il famigerato carcere di Abu Ghraib vicino a Baghdad, citato più volte nelle cronache perché in quel luogo sono stati torturati i prigionieri. Ovviamente l’azienda di sicurezza privata TigerSwan ha prontamente dichiarato che i suoi sistemi non stati compromessi pur ammettendo il data leak.
Una lunga fila di incidenti
I dati, ospitati sul popolare servizio di cloud storage Amazon AWS S3, sono stati scoperti in luglio dal famoso esperto Chris Vickery, ma sono stati rimossi solo alla fine di agosto, in questo periodo chiunque poteva accedervi. In circostanze simili, Vickery ha scoperto in agosto più di 1.8 milioni di record appartenenti ad elettori americani che sono stati accidentalmente pubblicati su un servizio cloud privi di protezione da un fornitore di macchine per il voto elettronico negli USA. Nel mese di giugno, sempre Vickery ha scoperto che un fornitore della Difesa americana aveva lasciato incustoditi decine di migliaia di documenti sensibili del Pentagono. Sempre su un server Amazon accessibile da chiunque sono stati trovati in Luglio i dati relativi a 14 milioni di clienti americani del colosso Verizon, ad esporre le informazioni sembrerebbe essere stato un partner dell’azienda. In marzo Vickery ha trovato quasi 200 milioni di record di elettori americani su un servizio Amazon AWS S3 gestito dall’azienda Deep Root Analytics (DRA).
I dati dei clienti di Time Warner
Tornando ai giorni nostri, sempre questa settimana i ricercatori della società di sicurezza Kromtech hanno scoperto un repository lasciato aperto su Internet dall’azienda di comunicazione BroadSoft. Parliamo di 600GB di file sensibili di cui 4 milioni di record dei clienti dell’azienda Time Warner. Tra le informazioni esposte vi sono indirizzi e numeri di contatto, impostazioni dell’account, numeri di telefono, nomi di utenti, indirizzi MAC, numeri di serie hardware, numeri di conto e altre informazioni di fatturazione dei clienti. Kromtech ha scoperto il prezioso archivio alla fine di agosto, i dati sembrano essere stati raccolti tra il 26 novembre 2010 e il 7 luglio 2017.
Per ovvie ragioni non vi elenco altri incidenti, tuttavia è opportuno riflettere attentamente su chi e come gestisce i dati delle nostre imprese. Sebbene le soluzioni di cloud storage semplifichino le operazioni di backup ed archiviazione è necessario valutare attentamente gli aspetti di sicurezza ad essi correlati. Configurare in maniera scorretta un sistema di cloud storage potrebbe esporre i nostri dati a competitor ed hacker. I rischi per le imprese sono elevati ed i danni ai clienti le cui informazioni sono state esposte potrebbero essere seri. Meditate, soprattutto alla luce dell’imminente adozione del nuovo regolamento sulla privacy (GDPR).
