Questo articolo è disponibile anche in
versione podcast audio. Ultimo aggiornamento: 2022/09/09 13:00.
Il cloud è bello. Permette di accedere ai propri dati da qualunque dispositivo
in qualunque momento, consente la condivisione e la collaborazione, riduce i
costi aziendali. Ma quando è fatto male e configurato peggio, apre la strada a
disastri di sicurezza e i dati personali diventano accessibili e rubabili da
chiunque. Oggi vi racconto uno di questi disastri.
Mi è arrivata la segnalazione confidenziale, tramite un’app di messaggistica
sicura, di un’azienda italiana che ha un bucket Amazon completamente aperto
e world-readable che causa un data leak
gravissimo.
Traduzione: le scansioni dei documenti d’identità dei clienti di quell’azienda
sono leggibili e scaricabili da chiunque usando un semplice programma di
navigazione, senza dover digitare password o altro, in violazione di tutti i
princìpi e le leggi sulla protezione dei dati personali. Nomi, cognomi,
fotografie, tessere sanitarie, moduli con indirizzi di casa e date di nascita,
insomma tutto quello che serve per un furto di identità di massa o per una
serie di truffe online, è aperto e a disposizione di qualunque saccheggiatore.
Partiamo dalle basi. Un bucket è un contenitore di dati del servizio
cloud di Amazon. Molti utenti comuni non lo sanno, ma Amazon, oltre a essere
un immenso negozio online, è anche un grandissimo fornitore di servizi cloud.
In pratica, numerosissime aziende di tutto il mondo affittano spazio sui
server di Amazon e vi depositano i propri dati. Invece di costruirsi un
cloud
interno, con tutti i costi e le complicazioni del caso, creano un cloud
sui computer di Amazon.
Il problema è che se questo cloud non viene impostato correttamente, i
dati sono accessibili a chiunque, ossia sono leggibili da tutto il
mondo: world-readable, appunto. Basta digitare in un qualsiasi browser
il nome del bucket
dell’azienda, che è facilmente reperibile o intuibile, seguito da
.s3.amazonaws.com, e si ottiene un elenco di tutti i file presenti nel
bucket.
A quel punto diventa banale creare un programma o script che legga
questo elenco e si scarichi tutti i file del bucket della malcapitata
azienda, creando una fuga di dati, ossia un data leak, di proporzioni
epiche.
E in effetti il caso che mi è stato segnalato è particolarmente imbarazzante e
grave. Ho verificato personalmente che i dati dei clienti dell’azienda, circa
un migliaio di file, sono perfettamente accessibili. Non faccio il nome
dell’azienda per ovvie ragioni di sicurezza e mi limito a dire che si tratta
di un nome piuttosto noto nel settore della fornitura di energia elettrica e
di gas in Italia.
Vedo per esempio la carta d’identità di Francesca, che abita a Casalecchio di
Reno, e anche la sua patente e la sua tessera sanitaria. Vedo i documenti di
Aurora, nata a Bologna nel 1997, e quelli parecchio sgualciti di Roberto, nato
a Prato nel 1975. Di queste persone vedo date di nascita, indirizzi di casa,
fotografie a colori. E ce ne sono tante, tante altre, inconsapevoli del fatto
che i loro dati personali sono a spasso sul Web. Se vi siete mai chiesti come
fanno i criminali ad aprire conti correnti o abbonamenti telefonici o altri
servizi senza usare i propri dati personali e farsi tracciare, ora avete la
risposta.
—
Ora che l’emorragia di dati è accertata, resta il problema di cosa fare. È
impraticabile contattare i singoli utenti per avvisarli che le scansioni dei
loro documenti sono accessibili via Internet e che quindi devono fare
attenzione a eventuali attivazioni fraudolente di servizi a loro nome ed
eventualmente denunciare l’azienda in questione per violazione delle norme
sulla riservatezza dei dati. Gli utenti da contattare sarebbero troppi, e
comunque molti di loro sarebbero diffidenti verso chiunque li contattasse con
un avviso del genere.
Le vittime dell’errore informatico resteranno quindi, purtroppo, all’oscuro di
tutto. Si potrebbe allora contattare l’azienda in questione e avvisarla. Ma
chi mi ha segnalato il problema dice di averlo già fatto, senza ottenere
risultato. L’ho fatto anch’io, trovando con fatica nel sito dell’azienda
l’indirizzo di mail del responsabile per la protezione dei dati, e gli ho
scritto avvisandolo che avrei raccontato pubblicamente la vicenda. Al momento
in cui registro questo podcast non ho ancora avuto risposta. Ma un primo
risultato sembra che ci sia: poco dopo l’invio della mia mail, i dati non
risultano più accessibili. Forse la segnalazione ha avuto effetto.
Purtroppo capita spesso che le aziende facciano invece finta di niente e
continuino a lasciare in bella vista i dati dei loro clienti nonostante siano
state ampiamente avvisate. In casi come questi si finisce per fare una
segnalazione al Garante per la privacy
[in Svizzera si fa all’Incaricato Federale per la Protezione dei Dati], che prende poi i provvedimenti del caso, che possono includere sanzioni
molto elevate.
Queste sanzioni per chi commette errori grossolani dovrebbero in teoria fare
da deterrente e indurre le aziende a lavorare con più attenzione, ma non
sempre è così. In ogni caso, le sanzioni non risolvono il problema che le
informazioni personali degli utenti sono ormai disseminate su Internet e non
c’è modo di riprenderle. E ovviamente dati come la data di nascita o il nome e
cognome non sono modificabili in caso di furto come si fa con le password.
L’unica, magra consolazione è che almeno alcuni dei documenti hanno una data
di scadenza, per cui fra qualche anno le loro scansioni non saranno
utilizzabili. Nel frattempo, a noi utenti, ai quali viene chiesto
continuamente di mandare scansioni di documenti per fare acquisti e
attivazioni online di ogni genere, non resta che alzare la guardia, rifiutando
se possibile queste scansioni e facendo attenzione a eventuali avvisi di
attivazione di servizi o di acquisti sospetti.
—
Addendum post-podcast 1: Molti commentatori mi hanno giustamente chiesto
come mai non ho segnalato alle autorità, per esempio alla Polizia Postale,
questa violazione delle norme sulla protezione dei dati, dato che si tratta
quasi sicuramente di un reato di cui ho notizia. La risposta è che ho scelto
la strada che prometteva di tutelare più rapidamente le vittime di questa
situazione, ossia i titolari dei documenti pubblicati online.
Se avessi fatto la segnalazione alla Postale o al Garante Privacy italiano, ci
sarebbe stata l’incognita dei suoi tempi di intervento, oltre al tempo che
avrei dovuto spendere per spiegare in dettaglio l’accaduto e per rispondere
all’inevitabile domanda “Ma lei come ha fatto a scoprirlo?” che mi
avrebbe portato a dover spiegare tutta la questione delle fonti confidenziali
e della loro tutela giornalistica. Mandando una mail direttamente all’azienda,
invece, c’era la speranza che ci sarebbe stato un intervento immediato, e
stavolta è andata così. Se non ci fosse stato l’intervento, a quel punto avrei
seguito la strada ben più lenta e tortuosa della segnalazione alle autorità
competenti.
In questo caso è bastata una normale mail (neanche una PEC) molto concisa al
DPO (data protection officer o responsabile per la protezione dei dati)
dell’azienda. Questa:
Buongiorno, sono un giornalista informatico. Vi segnalo che un vostro
bucket
Amazon è completamente aperto e accessibile a chiunque,
consentendo di
accedere a scansioni di documenti personali.Link di esempio:
https://[omissis].amazonaws.com/filled/%5Bomissis%5D.JPG
Sto
preparando un articolo sulla vicenda, nel quale non citerò
esplicitamente
il nome della vostra azienda per tutelare i vostri clienti.Naturalmente
è opportuno che provvediate a chiudere questa vulnerabilità.Vi
chiedo, se possibile, un commento pubblicabile sulla questione.
L’articolo
sarà pubblicato tra circa due ore su Disinformatico.info.Cordiali
salutiPaolo Attivissimo
![https://[omissis].amazonaws.com/filled/%5Bomissis%5D.JPG](https://[omissis].amazonaws.com/filled/%5Bomissis%5D.JPG){kind=link}
Sono passate ormai quasi 24 ore da quando ho inviato la mail, ma non ho ancora
ricevuto nessuna comunicazione da parte del DPO, nemmeno un semplice
“grazie”. Presumo che non arriverà mai.
—
Addendum post-podcast 2: Dai commenti arriva un suggerimento protettivo interessante: quando si fa una scansione/fotocopia di un documento di identità, apporre sopra l’immagine una dicitura del tipo “Scansione ad uso esclusivo di [NomeAzienda]”. In caso di fuga di dati, questo permette di tracciarne la fonte; in caso di uso fraudolento di una scansione o fotocopia, mette in allarme l’azienda alla quale viene inviata indebitamente.