Vai al contenuto
BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

Questo articolo è disponibile anche in
versione podcast audio.

Il 19 ottobre scorso Microsoft ha
annunciato
che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati
resi pubblicamente accessibili via Internet a causa di un suo errore di
configurazione. I dati includono dettagli delle strutture aziendali, le
fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di
telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua
segnalazione da parte della società di sicurezza informatica SOCRadar il 24
settembre scorso, ma
alcuni
esperti
non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come
Grayhat Warfare e come
avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati
hanno avuto il tempo di procurarsene una copia.

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google,
che hanno malconfigurato vari server contenenti dati sensibili dei propri
clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in
un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome
di dominio nella casella di ricerca, e ha dato alla vicenda il nome
BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123
paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono
circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a
dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai
servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa
servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto
a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente
utilizzati dai criminali online per ricatti ed estorsioni o per carpire
illecitamente la fiducia dei dipendenti di un’azienda presa di mira
manifestando di conoscere informazioni aziendali riservate, ma vengono anche a
volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso
di ignorare segnalazioni di cloud colabrodo come questa. 

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

 

Fonte aggiuntiva:
Bleeping Computer, Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Internet in tilt per un’oretta, tutta colpa di una singola azienda. Come è possibile?

Internet in tilt per un’oretta, tutta colpa di una singola azienda. Come è possibile?

Ultimo aggiornamento: 2021/06/11 1:50.

Martedì scorso (8 giugno) moltissimi siti Internet sono diventati inaccessibili per circa un’ora: siti governativi, Amazon, Reddit, Twitch, Hulu, PayPal, Vimeo e molte testate giornalistiche.

Alcuni giornali hanno parlato frettolosamente di attacco hacker, senza alcuna prova a sostegno, per poi correggere il tiro. La ragione reale, infatti, è stata molto, molto più banale.

 

Incredibilmente banale: il collasso è stato causato da una singola azienda, Fastly, che è andata a gambe all’aria. Già questo è imbarazzante, ma non è finita: Fastly è crollata per colpa di un singolo utente.

Sul serio: un utente di Fastly ha cambiato le proprie impostazioni, ed è venuta giù buona parte di Internet. Come è possibile?

Fastly è un fornitore statunitense di edge cloud o cloud perimetrale: un servizio che rende più veloce il caricamento dei siti, li protegge contro gli attacchi informatici e li aiuta quando ci sono picchi di traffico da parte di visitatori. È uno di una rosa piuttosto ristretta, che include nomi come Amazon Web Services e Cloudflare. Praticamente tutti i siti Internet si appoggiano a questi fornitori, per cui l’idea che Internet sia in grado di sopportare un attacco nucleare, come si diceva al suo debutto, è ormai un mito da seppellire.

Incidenti come questo, dovuti alla dipendenza da questi fornitori, sono piuttosto frequenti anche se relativamente brevi. Nel 2017 capitò ad Amazon Web Services, che per quattro ore mise fuori uso siti come Netflix e Spotify. Nel 2019 toccò a Cloudflare, che mandò in tilt Dropbox, Discord, Medium, Soundcloud e molti altri siti frequentatissimi. E proprio stasera (10 giugno) un “aumento della temperatura ambiente” di un datacenter Amazon a Francoforte ha causato grossi problemi di connettività, nei quali sono probabilmente incappato anch’io: il webinar su Zoom che stavo coordinando è andato a gambe all’aria in diretta, lasciando scollegate alcune centinaia di partecipanti senza alcuna possibilità di riconnettersi (Zoom usa AWS).

Dalla pagina di stato di Amazon

The root cause of this issue was a failure of a control system which
disabled multiple air handlers in the affected Availability Zone. These
air handlers move cool air to the servers and equipment, and when they
were disabled, ambient temperatures began to rise. Servers and
networking equipment in the affected Availability Zone began to
power-off when unsafe temperatures were reached. Unfortunately, because
this issue impacted several redundant network switches, a larger number
of EC2 instances in this single Availability Zone lost network
connectivity.

While our operators would normally had been able to restore cooling
before impact, a fire suppression system activated inside a section of
the affected Availability Zone. When this system activates, the data
center is evacuated and sealed, and a chemical is dispersed to remove
oxygen from the air to extinguish any fire. In order to recover the
impacted instances and network equipment, we needed to wait until the
fire department was able to inspect the facility. After the fire
department determined that there was no fire in the data center and it
was safe to return, the building needed to be re-oxygenated before it
was safe for engineers to enter the facility and restore the affected
networking gear and servers. The fire suppression system that activated
remains disabled. This system is designed to require smoke to activate
and should not have discharged. This system will remain inactive until
we are able to determine what triggered it improperly. In the meantime,
alternate fire suppression measures are being used to protect the data
center.

Once cooling was restored and the servers and network equipment was
re-powered, affected instances recovered quickly. A very small number of
remaining instances and volumes that were adversely affected by the
increased ambient temperatures and loss of power remain unresolved.

Il collasso di martedì scorso è stato causato involontariamente da uno dei clienti di Fastly, che ha appunto cambiato le proprie impostazioni, in maniera assolutamente legittima, e così facendo ha attivato un bug che era presente in un aggiornamento software che Fastly aveva diffuso ai propri clienti a metà maggio. Il bug ha fatto sì che l’85% della rete di Fastly desse errore.

Per fortuna i tecnici di Fastly hanno capito rapidamente la causa del problema e nel giro di una cinquantina di minuti scarsi sono riusciti a rimettere in funzione il 95% della propria rete. L’azienda si è scusata e ha spiegato in parte cosa è successo in questa cronologia degli eventi e in questo rapporto.

L’unica cosa rimasta inspiegata è l’identità del cliente di Fastly che ha fatto crollare mezza Internet. Non so voi, ma se l’avessi fatto io lo metterei nel curriculum.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il Registro Elettronico di Axios Italia, usato da molte scuole italiane, è kaputt per attacco ransomware

Il Registro Elettronico di Axios Italia, usato da molte scuole italiane, è kaputt per attacco ransomware

Ultimo aggiornamento: 2021/04/10 22:40.

“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti
in Italia (Arezzo), tutte le connessioni sono effettuate tramite il
protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al
mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati
tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo
genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun
altro.”
Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di
molte scuole italiane (circa il 40%, secondo
ANSA). Sito che ora è
irraggiungibile.

Un attacco ransomware ha infatti buttato giù il sito
“sicuro come nessun altro” e
“basato su altissimi standard di sicurezza”. Questo è uno screenshot di
com’era prima dell’attacco,
come si può vedere su Archive.org.

 

Secondo
Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano
pubblica uno screenshot di Axios Italia che dice di stare
“lavorando alacremente con l’obiettivo di rendere disponibili tutti i
servizi web entro pochi giorni”.

Su Facebook,
Axios Italia ha
dichiarato
inizialmente (3 aprile) che si trattava di un
“improvviso malfunzionamento tecnico occorso durante la notte” che
avrebbe
“reso necessario un intervento di manutenzione straordinaria”. Lo
stesso risulta dalla
copia salvata su Archive.org
il 5 aprile.

Oggi (5 aprile) l’azienda ha
scritto, sempre su Facebook, che
“a seguito delle approfondite verifiche tecniche messe in atto da Sabato
mattina in parallelo con le attività di ripristino dei servizi, abbiamo
avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza
di un attacco ransomware portato alla nostra infrastruttura. Dagli
accertamenti effettuati, al momento, non ci risultano perdite e/o
esfiltrazioni di dati. Stiamo lavorando per ripristinare l’infrastruttura
nel più breve tempo possibile e contiamo di iniziare a rendere disponibili
alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura
tenervi costantemente aggiornati. 

Gli stessi messaggi sono presenti attualmente sul
sito di Axios Italia

Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non
pubblico altri dettagli, per il momento, in attesa di conferme e riscontri:
sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei
backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati
con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di
Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.

2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole,
l’azienda è stata informata dell’attacco ransomware da parte del servizio di
sicurezza di Aruba intorno alle due del mattino del 3 aprile e il
disaster recovery avrebbe mitigato i danni. L’amministratore unico di
Axios Italia, Stefano Rocchi, dice a
Giornalettismo
che è stato “deciso di non pagare alcun riscatto”.

 

2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il
Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde
con un timeout. Il
sito di Axios Italia
ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile
per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che
“I dati personali gestiti non sono stati persi/distrutti e non vi è stata
alcuna visione/estrapolazione indebita”
e che
“Le misure di sicurezza adottate, incluse le soluzioni di Disaster
Recovery, nonostante un “attacco brutale con finalità estorsive” similare a
quello ricevuto recentemente da multinazionali (esempio ACER), hanno
consentito di preservare i dati gestiti nel rispetto della normativa
privacy.”


 

Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360,
Punto Informatico,
Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di
Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici
ricordando inoltre l’inevitabile Effetto Streisand.

 

2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021
non è la prima aggressione informatica che colpisce il Registro Elettronico di
Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS,
riferiscono per esempio
Repubblica
e
RAI.

2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto
segue:

Gentili Clienti,
siamo lieti di comunicarVi che sono tornati online il
Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi.
Stiamo
inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi
ripristinati.
Vi ringraziamo ancora per la vicinanza e la pazienza
dimostrata in questi giorni.

Continueremo a mantenerVi
costantemente aggiornati sugli sviluppi.

10/04/2021 – Ore 18:05

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quando il cloud diventa una nuvola. Di fumo

Quando il cloud diventa una nuvola. Di fumo

Questa foto (credit: @mothattacks) mostra il datacenter di Strasburgo della Ovh, colpito da un incendio il 10 marzo scorso. In questo datacenter venivano ospitati i dati di migliaia di clienti della società francese: era insomma la parte concreta di quello che in gergo viene definito cloud. Quel cloud è diventato letteralmente una disastrosa nuvola di fumo.

Trovate tutti i dettagli e i nomi di molti dei clienti colpiti in questo articolo di Wired.it, ma il dato più importante è che Ovh ha invitato gli utenti ad attivare i propri piani di disaster recovery. Questo di solito non è un buon segno, e significa che i dati custoditi presso il datacenter sono da considerare perduti.

Anche se la dinamica di questo incendio è ancora tutta da definire, il segnale di fumo è molto chiaro: depositare i propri dati nel cloud non implica automaticamente che il gestore del cloud ne abbia una copia di scorta per emergenze come queste (leggete attentamente il vostro contratto) ed è possibile che spetti al cliente fare questa copia di scorta altrove.

Per contro, implica che se i vostri processi di lavoro dipendono dalla disponibilità di quei dati depositati nel cloud, in caso di disastro che colpisce il cloud non potrete più lavorare. A meno che abbiate una copia di scorta locale o presso un cloud separato.

Casi come questo sono un’occasione importante per riflettere sulle proprie strategie di backup e sui propri piani di disaster recovery. Ne avete uno? Lo avete mai messo alla prova? Sareste in grado di lavorare senza accesso al cloud? È il momento giusto per farsi queste domande.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Googledown mondiale, promemoria di dipendenza digitale

Googledown mondiale, promemoria di dipendenza digitale

Lunedì 14 dicembre, intorno alle 13, quasi tutti i servizi di Google sono andati in tilt per circa 50 minuti. È bastata un’ora scarsa di disservizio per creare un’ondata di panico planetario, dovuto al fatto che milioni di utenti non riuscivano più a mandare mail, scrivere o consultare i propri documenti custoditi online nel cloud, sfogliare l’agenda di Calendar, guardare video su YouTube, gestire i propri assistenti vocali, consultare mappe e fare lezioni a distanza con Meet.

I servizi sono tornati alla normalità dopo appunto una cinquantina di minuti, secondo il resoconto pubblicato da Google, che spiega che avevano smesso di funzionare tutti i suoi servizi che richiedevano un’autenticazione tramite account. In effetti il motore di ricerca ha continuato a funzionare, e YouTube era consultabile tramite navigazione in incognito, ma qualunque servizio che richiedesse login e password di Google era inaccessibile.

Nelle ore successive ci sono stati problemi con Gmail, per cui molti account di posta risultavano inaccessibili e chi cercava di mandare mail a quegli account riceveva una risposta automatica del tipo “questo account non esiste” (un bel “550-5.1.1 The email account that you tried to reach does not exist.”

La causa scatenante, dice sempre Google, è stata “un problema con il nostro sistema automatizzato di gestione delle quote che ha ridotto la capacità del sistema centrale di gestione delle identità”.

Non è il primo blackout del genere: Downdetector ne ha catalogati parecchi quest’anno, anche se non così vasti, e Wikipedia nota che un’altra sospensione dei servizi primari di Google è avvenuta ad agosto 2020 e che anche l’11 novembre scorso si è verificato un blocco simile.

Ci sono un paio di lezioni da portare a casa a proposito di questo incidente.

La prima è sicuramente che siamo enormemente dipendenti da Google e che è meglio preparare un piano d’emergenza che consenta di continuare a operare almeno in forma ridotta se Google va in tilt. Il vostro impianto luci o di riscaldamento domotico è comandabile anche senza passare per Google? Dipendete dal vostro assistente vocale Google Home per qualche funzione importante (penso ai disabili o a chi ha mobilità ridotta per infortunio o malattia, per esempio)? La vostra azienda o scuola è paralizzata se i servizi di Google non funzionano? Procuratevi un Piano B.

Senza arrivare a questi livelli estremi, vale la pena di cogliere l’occasione per chiedersi se è davvero una buona idea usare la login di Google per accedere a servizi di altri fornitori. Certo, è comodo, ma se Google si blocca diventa impossibile accedere non solo ai servizi di Google ma anche a tutti quelli di altri fornitori che dipendono dalla login di Google. Meglio avere account separati per ogni fornitore.

La seconda lezione è che conviene sapere dove reperire informazioni su questi blackout, in modo da capire rapidamente se il problema è nostro o esterno e agire di conseguenza (anche soltanto per mettersi il cuore in pace). Ho già citato Downdetector, disponibile anche su Twitter e Facebook e con sezioni separate per i singoli paesi, come Allestörungen.ch per la Svizzera o Downdetector.it per l’Italia), tenete presente la Dashboard dello stato di Google Workspace, presso

http://www.google.it/appsstatus#hl=it&v=status

La terza lezione è, come spiega bene Stefano Zanero, che fare congetture o ipotizzare attacchi informatici o complotti è una perdita di tempo:

 

Fonti aggiuntive: Gizmodo, BBC, ANSA, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Privacy digitale, pratiche visibili a tutti sul sito dell’ENEA (aggiornamento: risolto)

Privacy digitale, pratiche visibili a tutti sul sito dell’ENEA (aggiornamento: risolto)

Ultimo aggiornamento: 2019/09/03 18:00.

Il sito delle detrazioni fiscali ecobonus dell’ENEA permette a chiunque di vedere le pratiche altrui, come si può notare nello screenshot qui accanto, nel quale ho mascherato i nomi degli utenti.

Non è necessario conoscere alcuna login o password: è sufficiente un URL pubblico. Risultano inoltre esaminabili i dettagli delle singole pratiche e i rispettivi allegati, che ho scelto di non pubblicare qui nemmeno in versione mascherata.

Grazie a @i_am_sverx, che mi ha trovato le coordinate del responsabile della protezione dei dati (un po’ nascoste su ecobonus2019.enea.it/privacy.asp), l’ho potuto avvisare via mail. Ho messo in copia cnaipic@interno.it e comunicazioneweb@enea.it, fornendo loro l’URL pubblico in questione.

Il mio tweet sulla questione ha attirato l’interesse degli addetti del team digitale di Governo.it, che stanno esaminando la situazione. Su loro suggerimento, ho messo in copia anche il CERT della pubblica amministrazione italiana. Vediamo che succede.

2019/09/03 18:00

Ho ricevuto mail dalla responsabile relazioni esterne e comunicazione e dal responsabile della divisione ICT di Enea, che mi dicono che il problema è stato risolto. I primi controlli confermano. Ora restano solo le eventuali questioni legate al GDPR.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quando una ditta lascia online i dati dei clienti e ignora gli avvisi, che si fa? Si pubblica

Quando una ditta lascia online i dati dei clienti e ignora gli avvisi, che si fa? Si pubblica

Ultimo aggiornamento: 2019/08/27 12:00.

Le gioie dei dati nel cloud: la San Marino Tourservice S.p.A. ha messo centinaia di file contenenti dati dei clienti in un bucket Amazon leggibile da chiunque, con buona pace della sua privacy policy (che ho archiviato qui).

So che è già stata allertata tempo fa (non da me), ma non ha fatto nulla: i dati sono ancora lì, come lo erano a marzo scorso, alla mercé del primo che passa. Nomi, numeri di telefono, date di viaggio, infortuni e problemi di salute.

Un paio di esempi (in cui ho mascherato i principali dati), tanto per chiarire che non sto scherzando:

Visto che segnalare il problema direttamente e con discrezione agli interessati non sembra aver ottenuto alcun effetto, vediamo cosa succede con una segnalazione pubblica della figuraccia. Perché un cliente ha il diritto di sapere se i suoi dati personali verranno davvero tutelati dall’azienda alla quale si rivolge o se, come sembra, vige il chissenefrega più totale.

Ho inviato segnalazione anche al CNAIPIC.

15:50. Sono stato contattato dal responsabile informatico dell’azienda e gli ho spiegato i dettagli tecnici della questione, chiarendo che non ho trovato alcuna vulnerabilità ignota ma ho semplicemente usato uno degli appositi motori di ricerca che indicizzano i bucket world-readable. È comunque già un passo avanti. I dati sono tuttora leggibili e scaricabili da chiunque, anche in massa. Ricordo alle aziende che usano i bucket di Amazon che Amazon offre una guida alla messa in sicurezza e anche uno strumento di verifica delle impostazioni dei bucket.

21:10. Mi è arrivata una mail dal responsabile informatico dell’azienda, che ha confermato la mia segnalazione e ha detto che verranno prese misure opportune (che non descrivo qui) e ringraziato con la promessa di aggiornarmi sulle modifiche e con la cortese richiesta di verificare il loro operato. Tutto è bene quel che finisce bene? Beh, resta la questione delle conseguenze GDPR di questa esposizione di dati privati. Ma questa è un’altra storia.

2019/08/22 7:35. Sono stato contattato di nuovo dall’azienda, che mi ha chiesto di verificare che a seguito di un intervento tecnico ora i dati non sono più accessibili a chiunque. I miei controlli a campione confermano che è così.

2019/08/27 12:00. Ho sostituito gli screenshot iniziali (che avevo mascherato quasi completamente) con delle versioni completamente mascherate.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

Ultimo aggiornamento: 2019/08/06 23:40.

Datadrifter di Spyglass Security è un nuovo motore di ricerca che trova i bucket di Google Cloud lasciati aperti. Se fate sign-in con un account Google, scegliete Explore e poi Images, troverete davvero di tutto. Attenzione: molte immagini e molti video sono assolutamente non adatti ad ambienti con minori o luoghi di lavoro. Questa è la schermata più safe for work che sono riuscito a catturare (e anche così ho dovuto mascherarne una parte).

Notate in basso a destra l’immagine di quello che sembra essere un impianto di lettura automatica di indirizzi postali, con buona pace di GDPR, leggi sulla privacy, sicurezza informatica e compagnia bella.

Datadrifter offre anche una funzione di ricerca, in versione semplice o avanzata. La versione a pagamento (da 20 dollari/mese in su) permette di approfondire la ricerca, ma non ho ancora provato: devo ancora sciacquarmi gli occhi per le cose che ho visto.

Nella ricerca semplice è sufficiente immettere il nome di un bucket trovato per esempio nella sezione Explore per ottenere un elenco di file come questo, che riguarda il lettore di indirizzi postali:

Sono tentato di abbonarmi per vedere cosa trova. Qualcuno di voi lo conosceva già e lo ha già provato?

Secondariamente: ma quanto bisogna essere incompetenti per lasciare un bucket Google Cloud leggibile dal mondo intero?

2019/08/06 23:40

La versione a pagamento permette di vedere molto di più: scansando a fatica l’ondata di immagini pornografiche, emergono decine di immagini di documenti personali, alcuni dei quali anche italiani, e di screenshot di transazioni di acquisto, con nomi, cognomi, date e importi. Ho trovato il nome di almeno una delle aziende che sta mettendo online questi documenti.

Un clic destro sull’immagine seguito da Copy Image Location permette di risalire al bucket e verificare che l’immagine è realmente accessibile a chiunque, come in questo caso volutamente innocuo (la foto di un cane). Gli URL sembrano essere tutti del tipo https://www.googleapis.com/download/storage/v1/b/[nome del bucket]/o/[path][nomefile][parametri].

Fra i nomi dei bucket ho notato welo, cluster-media, simplestorage, phil-videos, piratebay-pics (decisamente NSFW), appstore-assets, nextpro, mastodon, imwork, alarabiya-assets, vidooly, symphonyimages, fcc-photos, chinatimes, store-production e altri ancora.

Nello screenshot qui sotto ho coperto io i dati sensibili, che negli originali sono perfettamente leggibili:

Ora sarebbe interessante trovare il modo di sapere a quali aziende appartengono questi bucket colabrodo e contattarle per sapere se la visibilità è consapevole e intenzionale o se è un errore gravissimo da correggere.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
MySpace si è perso dodici anni di dati degli utenti. Le gioie del cloud

MySpace si è perso dodici anni di dati degli utenti. Le gioie del cloud

Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questa puntata può essere ascoltata qui.

Domanda a bruciapelo: dove sono le vostre foto di famiglia? Ne avete una copia di scorta, o fate quello che fanno quasi tutti, ossia avete quelle vecchie ammassate in una scatola da qualche parte in casa e quelle recenti nello smartphone? Non per menare gramo, ma avete già pensato cosa fareste se vi si guastasse lo smartphone o lo perdeste? Riuscireste a recuperare tutti i vostri ricordi digitali? Pensateci un momento.

Ormai è diventato normale affidarsi al cloud, ossia all’archiviazione dei propri dati presso un fornitore di servizi, sia per lavoro sia nella sfera privata. Gli smartphone archiviano quasi sempre automaticamente una copia dei dati presso i cloud di Google, se avete un telefonino Android, o di Apple, se avete uno smartphone di questa marca. Ma è importante ricordarsi una regola fondamentale: il cloud è il computer di qualcun altro. E quel qualcun altro non sempre ha a cuore i vostri ricordi più cari quanto li avete voi.

Lo hanno scoperto di recente, con amarezza, gli utenti di MySpace. Per chi non se lo ricorda, MySpace, nato nel 2003, era diventato il social network più popolare nella seconda metà degli anni duemila. Nel 2006 era addirittura più visitato di Google. Aveva centinaia di milioni di utenti e tantissime funzioni all’epoca innovative, come il caricamento di canzoni, e permetteva di elencare ben otto amici speciali nel proprio profilo. Nel 2009 fu travolto, come tanti altri, da Facebook.

Ma MySpace esiste ancora, anche se è quasi dimenticato, e milioni di persone vi hanno depositato i propri dati per anni. Foto, pensieri, ricordi, musica. Sembravano al sicuro, nel cloud. Finché un bel giorno, quei “computer di qualcun altro” hanno avuto un problema. Pochi giorni fa MySpace ha annunciato che a causa di un aggiornamento tecnico non riuscito ha perso irrimediabilmente tutte le foto, i video e i file audio caricati dagli utenti fino al 2015. Dodici anni di dati. Si stima che solo le canzoni perdute siano circa cinquanta milioni.

MySpace ha chiesto scusa per il disagio, come si dice sempre in questi casi, e ha consigliato agli utenti di ricorrere alle copie di scorta personali per recuperare i propri dati. La cosa suona parecchio ironica, visto che a quanto pare MySpace non aveva pensato di approntare una copia di scorta dei dati dei clienti prima di imbarcarsi nell’aggiornamento poi fallito.

La vicenda ha messo in luce uno dei limiti del cloud: certo, è meglio di niente, e ci sono fornitori di servizi cloud estremamente professionali e affidabili, ma alla fine se depositiamo i nostri dati nel computer di qualcun altro quei dati dipendono dalla competenza e dalle decisioni di quel qualcun altro.

Il consiglio degli esperti è quindi di usare il cloud come deposito facilmente accessibile, ma di avere comunque una copia personale, locale, dei propri dati. Spesso è sufficiente un buon disco rigido, scollegato da Internet, al sicuro da aggiornamenti tecnici mal riusciti e da eventuali virus e attacchi informatici. Magari protetto da una password e depositato a casa di un amico fidato. Pensateci.

2019/03/26 20:20. Cracked.com segnala che questa non è la prima purga drastica dei contenuti di Myspace: una perdita analoga di dati era già avvenuta nel 2013.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Migliaia di documenti d’identità liberamente scaricabili online nei “bucket” non protetti

Migliaia di documenti d’identità liberamente scaricabili online nei “bucket” non protetti

Si fa un gran parlare di protezione dei dati digitali, GDPR (regolamento generale sulla protezione dei dati) e relative sanzioni, per cui sembra ragionevole pensare che le aziende siano ben attente nel gestire i dati dei clienti. Il GDPR, in particolare, prevede sanzioni talmente pesanti in caso di fuga di dati sensibili che parrebbe ovvio e inevitabile investire in misure di sicurezza.

È di ieri la notizia della fuga di dati del database di Rousseu, la piattaforma del Movimento 5 Stelle, già protagonista di una precedente fuga: trovate i dettagli su DavidPuente.it e in questo articolo di Martina Pennisi sul Corriere della Sera online. Ma non è certo un caso isolato.

In queste settimane ho seguito un tipo molto specifico di fughe di dati: quelle tramite i bucket di Amazon. I bucket sono degli spazi a noleggio per la custodia dei dati. In pratica, un’azienda, invece di investire in un proprio server nel quale depositare i propri dati, può affittare spazio sui server di Amazon e mettere lì i dati. Amazon garantisce spazio e traffico a volontà: basta pagare.

Il grosso vantaggio è la flessibilità: una piccola azienda può espandersi in fretta senza dover aspettare di comperare dei propri server aggiuntivi, affittando invece spazio su Amazon. Due clic e lo spazio raddoppia, triplica, si decuplica. Quando non serve più si abbandona.

Il problema è che se il bucket non viene configurato correttamente, i dati sono accessibili a chiunque, perché hanno un link pubblico. E non è difficile scovarli. Questo è un esempio di un bucket lasciato aperto, riguardante un’azienda russa:

Basta cliccare su uno qualsiasi dei link e compaiono scansioni di passaporti come questa (ho mascherato io i dati in tutte le immagini seguenti):

In un altro bucket ci sono dati sanitari italiani:

Altrove ci sono backup di database, tessere sanitarie, password, tabelle di contabilità, documenti di tribunali:

Estratti conto di una banca messicana:

La cosa curiosa è che alcuni bucket sono già stati visitati da qualcuno che ha lasciato un cortese avviso:

Hello,
This is a friendly warning that your Amazon AWS S3 bucket settings are wrong.
Anyone can write to this bucket.
Please fix this before a bad guy finds it.

Insomma, il problema è piuttosto diffuso e largamente ignorato.

Magari vi state chiedendo quali tipi di reato si possano compiere realisticamente con una scansione di un documento d’identità. Non voglio regalare spunti criminogeni a nessuno, per cui mi limito a un solo esempio già divulgato: ricordate la truffa “Questa è la tua password, sappiamo che hai visitato siti porno, ti abbiamo registrato, ora paga altrimenti diffonderemo il video”? Ne avevo parlato a luglio scorso.

Immaginate quanto diventa più credibile questa truffa se il suo messaggio dichiara di provenire dalla polizia e include i vostri dati anagrafici, il vostro numero di telefono e il numero di un vostro documento e vi intima di pagare una multa per evitare conseguenze più gravi.

Cosa si fa quando ci si imbatte in casi come questi? La soluzione più diretta sembrerebbe essere quella di contattare le aziende responsabili, ma ve lo sconsiglio: quando lo faccio io, pur qualificandomi come giornalista e informatico, la maggior parte delle volte non vengo creduto.

La cosa più efficace è segnalare dettagliatamente il tutto alle autorità apposite: per esempio, in Svizzera ci sono l’apposita pagina dell’Ufficio Federale di Polizia e quella di MELANI (la ); in Italia ci si rivolge al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Che è quello che ho fatto io per questi casi. Speriamo in bene.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.