Le fughe di dati personali sono all’ordine del giorno. Alcune si fanno spazio tra le notizie dei giornali, molte altre cadono nell’oblio. Secondo l’Identity Theft Resource Center, solo negli Stati Uniti dall’inizio del 2017 fino a oggi sono stati compromessi 163 milioni di dati. Per capire la portata di questa cifra, si tratta di un volume 4 volte superiore a quello dell’intero 2016.
E il 2017 non è ancora finito; tuttavia, non aspetteremo gli ultimi due mesi dell’anno per raccontarvi le 5 fughe di dati più importanti registrate dall’inizio del 2017 fino ai tre quarti dell’anno. Per essere proprio precisi, dovremmo iniziare con i 3 miliardi di account violati di Yahoo ma è una fuga i cui primordi risalgono al 2013; a ottobre ci sono stati nuovi aggiornamenti sull’argomento ma si tratta di una fuga di cui eravamo già a conoscenza da tempo.
Probabilmente non avete sentito parlare di Avanti, ma forse il vostro ufficio sì, o forse avete acquistato uno snack dalle sue macchinette. A luglio, questo fornitore di soluzioni per la vendita di snack nelle mense o negli uffici ha annunciato la scoperta di un malware in uno dei suoi terminali di pagamento. I cybercriminali sono riusciti a infettare alcuni dispositivi impiegando un malware piuttosto complicato e creato apposta per intercettare i numeri delle carte di credito, le loro date di scadenza e i codici CVV. Non è ancora chiaro, tuttavia, come siano riusciti a infettare i terminali. In alcuni casi, i cybercriminali hanno avuto accesso persino ai dati biometrici dei clienti (alcuni dispositivi erano dotati di sensori per le impronte digitali). Grazie a delle impostazioni differenti per ogni settore, i cybercriminali non sono riusciti ad hackerare l’intera rete. In ogni caso, proprio per lo stesso motivo, l’azienda non è riuscita a dare una stima esatta del danno, ha affermato che sono stati compromessi almeno 1,6 milioni di caso, sottilineiamo l’avverbio “almeno”.
Ad agosto, gli esperti di sicurezza IT hanno scoperto un clound container aperto di Amazon Web Services (AWS), che comprendeva il backup dei dati dell’azienda Election Systems & Software (ES&S) che produce macchine elettorali e sistemi di gestione durante le elezioni. Il backup riguardava quasi 2 milioni di account con nomi, indirizzi, date di nascita e iscrizione ai partiti dei cittadini dell’Illinois. Di default, si può accedere ai contenitori AWS solo con username e password; tuttavia, per una ragione sconosciuta, le impostazioni di questo dispositivo non erano ben configurate e per questo il container era accessibile a tutti. Non c’è modo di sapere se qualcun altro oltre agli esperti ne sia venuto a conoscenza ma in ogni caso i dati di 1,8 milioni di persone erano lì alla mercé di chiunque, per cui il caso rientra nella definizione di fuga di dati.
L’incidente che ha interessato Dow Jones è molto simile a quello appena descritto, in quanto coinvolge un altro container AWS pieno zeppo di dati. Il problema risiedeva, ancora una volta, nelle impostazioni anche se in questo caso i dati non erano visibili a tutti ma solo agli utenti di AWS. L’incidente ha compromesso i dati personali ed economici di milioni di abbonati al Wall Street Journal, al Barron’s e ad altri giornali e magazine pubblicati da una delle più grandi agenzia di notizie economiche del mondo. Non è dato sapere se i cybercriminali siano stati in grado di ottenere l’accesso ai dati prima che sia stato di nuovo correttamente configurato il cloud container.
Grazie a una vulnerabilità nell’applicazione web di un importante motore di ricerca di lavoro online, un hacker sconosciuto è riuscito ad appropriarsi di nomi, date di nascita e numeri dell’assistenza sociale di utenti appartenenti a ben 10 stati americani diversi. A febbraio scorso, l’hacker ha creato un account nel sistema e ha poi sfruttato la vulnerabilità per arrivare a oltre 5,5 milioni di account. L’intrusione è stata scoperta solo due settimane dopo e la vulnerabilità era già stata risolta. Nel comunicato stampa ufficiale, America’s Job Link Alliance ha spiegato che la vulnerabilità era dovuta a una app facente parte di un aggiornamento che risaliva a ottobre 2016, “configurato in maniera non corretta”.
E ora, il piatto principale: la fuga di dati di Equifax. Lo scorso settembre, i rappresentanti dell’azienda hanno rivelato che alcuni hacker avevano avuto accesso ai database contenenti nomi dei clienti, numeri dell’assistenza sociale, date di nascita e indirizzi. La fuga di dati è andata avanti per oltre un mese, da metà maggio a fine luglio. Per arrivare ai dati, i cybercriminali hanno sfruttato una vulnerabilità nel framework di Apache Struts 2. Secondo una stima iniziale di Equifax, l’attacco ha coinvolto i dati di 143 milioni di persone ma poi la cifra nel tempo è salita a 145,5 milioni. Tra i vari dati, durante l’attacco sono stati compromessi 209 mila numeri di carte di credito e documenti con dati personali di 182 mila persone. La vulnerabilità che ha provocato la fuga era già stata risolta da Oracle a marzo (azienda che sviluppa Apache Struts) ma Equifax, una delle aziende più importanti degli Stati Uniti di controllo dei crediti, non aveva installato gli aggiornamenti.
Ripassiamo ciò che abbiamo appreso da queste 5 fughe di dati: almeno in quattro casi su cinque (nel primo, la causa non è ancora conosciuta), erano incidenti che si potevano evitare. Nei casi di Election Systems & Software and Dow Jones & Company, i dati non erano protetti per una errata configurazione del software. L’America’s Job Link Alliance ha subito le conseguenze di una vulnerabilità conosciuta di una app web. E infine, per quanto riguarda Equifax, più che di una vulnerabilità parliamo di un mancato aggiornamento, la cui patch avrebbe evitato la fuga di informazioni. Un errore che putroppo capita spesso in numerose aziende, di qualsiasi tipo e dimensione.