È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.
Buon ascolto, e se vi interessano il testo e i link alle
fonti di questa puntata, sono qui sotto.
—
[CLIP: La richiesta di “password” da Eyes Wide Shut di Stanley Kubrick]
Ci sono tanti modi per scoprire le password e i dati personali di qualcuno.
Spesso i criminali informatici vengono immaginati e rappresentati come maghi
della tastiera che sanno scovare e rubare qualunque dato digitale usando
tecniche di penetrazione sofisticatissime, ma altrettanto spesso queste
tecniche non sono affatto necessarie, perché i dati sono stati messi
maldestramente a disposizione del primo che passa e sono accessibili via
Internet a chiunque abbia una minima capacità informatica. La colpa, insomma,
non è del titolare dei dati, ma di chi è tenuto a custodire i dati degli
altri.
Sono Paolo Attivissimo, e in questa puntata del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica, vi racconto tre episodi recentissimi di dati
personali trovati a spasso su Internet, le tecniche usate per trovarli, e le
trappole usate dai criminali informatici per sfruttare quei dati, partendo da
informazioni banali come un’ordinazione di caffé. Due di queste storie hanno
un lieto fine: la terza, almeno per ora, ha un finale aperto.
[SIGLA di apertura]
Assicurati poco rassicuranti
Pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito
aperto a chiunque che contiene quello che sembra essere un elenco di dati
assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi,
cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e
altro ancora, tutto tranquillamente sfogliabile e leggibile con un normale
browser. Tutto quello che serve sapere per leggerli è l’indirizzo IP del sito.
Trovare questo indirizzo IP non è difficile. Esistono motori di ricerca
appositi, come Shodan, che in sostanza fanno la stessa cosa che fa Google,
ossia esplorano e catalogano tutta Internet, ma a differenza di Google, che
rastrella tutti i testi e tutte le immagini, questi motori di ricerca prendono
nota solo dei siti che hanno degli accessi non protetti. È sufficiente
sfogliare Shodan per trovare di tutto: telecamere di sorveglianza accessibili,
server leggibili e scrivibili da chiunque, e pagine Web come quella che mi è
stata segnalata. Esattamente come con Google, è sufficiente immettere le
parole chiave giuste, facilmente intuibili: nomi di marche famose di
telecamere o di apparati di controllo industriale oppure frasi descrittive
tipiche degli archivi di dati online. E a volte queste stesse parole chiave
sono usabili direttamente in Google, senza neppure dover ricorrere a motori di
ricerca specializzati.
Fra l’altro, la facilità con la quale questi dati assicurativi teoricamente
privati sono reperibili è dimostrata nella maniera più evidente da una riga
molto particolare dell’elenco dei clienti di questo servizio assicurativo. Al
posto del nome e cognome del cliente, in questa riga c’è una vistosa dicitura,
tutta in maiuscolo: “BUONGIORNO QUESTO DATABASE È ACCESSIBILE A CHIUNQUE VIA
INTERNET”.
Chiaramente qualcuno è già passato di qui, ha notato i dati personali
pubblicamente accessibili, e ha scelto un modo molto diretto per avvisare i
responsabili del sito.
La presenza di questo avviso, inoltre, segnala altrettanto chiaramente che i
dati non sono soltanto leggibili, ma sono anche scrivibili da chiunque via
Internet. Questo vuol dire che chiunque può alterarli o semplicemente
cancellarli. Un avviso del genere è l’equivalente informatico di trovare un
volantino di una società di installazione di antifurto dentro casa, sul
tavolo in cucina.
Non è una bella situazione, soprattutto per gli assicurati elencati, e così
sono andato a frugare pazientemente nei dati e nei documenti pubblicamente
accessibili, vi ho trovato l’indirizzo di mail di quella che sembra essere la
ditta responsabile e l’ho avvisata della situazione.
Nel giro di poche ore le pagine sono state disattivate, non so se per merito
dell’avviso lasciato nei dati stessi oppure della mia segnalazione via mail.
Quei dati sono ancora reperibili in Google, che ne conserva temporaneamente
memoria nella sua cache, ma perlomeno non sono più alterabili da qualunque
malintenzionato in vena di dispetti.
Mi è poi arrivato su Telegram un messaggio di qualcuno che sembra parlare a
nome della ditta coinvolta e dice che si trattava di “una versione alfa non in
produzione” che conteneva “dati totalmente fittizi anche se costruiti
coerentemente”. Non ho modo di verificare questa dichiarazione: posso solo
notare che erano “costruiti coerentemente” con un realismo e un dettaglio
davvero straordinari per essere dei dati fittizi, e posso solo sperare che la
versione definitiva sarà un po’ meno accessibile e disinvoltamente scrivibile
di questa, perché in ogni caso provare un database lasciandolo aperto a tutti
su Internet, in modo che possa essere riscritto, cancellato o devastato dal
primo vandalo che passa, non è comunque una buona prassi di sicurezza
informatica. E non è l’unica prassi del suo genere che viene disattesa, come
vi racconterò tra un attimo.
Screenshot e dettagli:
https://attivissimo.blogspot.com/2023/01/poi-la-gente-si-chiede-come-mai-i-dati.html
Dati sanitari lombardi a spasso
Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è
impressionante la quantità di organizzazioni che mette su alla bell’e meglio
una pagina Web con i dati personali dei dipendenti, clienti o collaboratori
“perché così è comodo e possiamo consultarli facilmente”.
Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque
altro. A quanto pare non è ancora stata capita diffusamente la lezione
fondamentale che non basta non dire a nessuno dove si trovano i dati e così
nessuno li troverà: bisogna proteggerli attivamente, così come non
basta lasciare la chiave di casa sotto lo zerbino e sperare che nessuno la
trovi.
I motori di ricerca generalisti, come Google, permettono di trovare le pagine
Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono
anche i motori di ricerca specializzati, come il già citato Shodan oppure
Binaryedge,
Zoomeye o
Censys, che esplorano tutta Internet e
catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.
Sempre pochi giorni fa mi è stato segnalato un servizio di soccorso sanitario
della Lombardia che pubblica su una pagina Web accessibile a Google (e a
chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e
orari degli utenti che si avvalgono dei suoi servizi e molti altri dati,
compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle
patenti di numerosi soccorritori volontari o professionisti.
Chiunque può leggere, per esempio, che il primo febbraio scorso Mattea doveva
essere trasportata da Predore a Sarnico; che il 2 febbraio Mario, telefono
34879 eccetera, doveva essere portato da Villongo all’ospedale di Iseo, o che il
14 febbraio prossimo la signora Teresa, telefono 32987 eccetera, verrà
trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via. E per
ciascun utente è indicata anche la situazione medica che rende necessario il
trasporto. E poi ci sono nomi, cognomi e ruoli del personale, con tanto di
firma digitalizzata.
Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un
problema peggiore, che riguarda tutti i casi di dati pubblicati online
inconsapevolmente: questi dati possono essere un appiglio perfetto per
compiere truffe o raggiri ai danni delle persone coinvolte.
Giusto per fare un esempio, si può immaginare un truffatore o malintenzionato
che telefoni a quella signora Teresa fingendo di essere un addetto al servizio
trasporto utenti e le dica che il suo trasporto (quello di cui cita tutti i
dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo.
Probabilmente la signora ci crederebbe e aprirebbe la porta di casa al finto
incaricato.
A un livello più sofisticato, un malvivente potrebbe approfittare del fatto
che sa di questa grave violazione della privacy sanitaria e contattare i
responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al
Garante per la protezione dei dati personali; se non chiedesse troppo, avrebbe
buone probabilità di incassare, perché l’estorsione costerebbe meno di quello
che costerebbe la sanzione del Garante più le spese legali e quelle per
mettere a posto il sito.
Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un
criminale informatico, che sicuramente avrà più inventiva di me.
Ho segnalato pubblicamente sui social network e nel mio blog questa
situazione, ovviamente mascherando i dati personali delle persone coinvolte, e
così sono stato contattato dall’Agenzia Regionale Emergenza Urgenza della
Lombardia, che con i dettagli che ho fornito è riuscita a risalire
all’associazione di soccorso coinvolta in questa vicenda e a contattare i
responsabili. Ora i dati non sono più accessibili via Internet.
Tutto è bene quel che finisce bene, insomma, ma sarebbe meglio per tutti se
storie come questa non iniziassero nemmeno.
Screenshot e dettagli:
https://attivissimo.blogspot.com/2023/01/dati-spasso-nomi-cognomi-firme-e-altri.html
Per una truffa online basta un’ordinazione di caffè
[CLIP: Sofia Loren parla di caffè in Questi fantasmi]
Il terzo caso di questa carrellata di dati a spasso è in apparenza banale.
Tutto inizia con una delle tante segnalazioni che mi arrivano: una pagina Web,
pubblicamente accessibile, che ospita una serie di caselle per l’immissione di
dati. Un form, in gergo informatico.
Il form cita una società di logistica italiana, che però non ha colpa; la
pagina è probabilmente di un’azienda che usa questa società di logistica per
le proprie spedizioni di merci.
Non sembra molto interessante, ma come capita spesso in questi casi anche
questo form ha una caratteristica elementare, utilissima per chi vuole
rastrellare dati: premendo semplicemente Invio, senza immettere nulla, elenca
tutti i dati dell’intero archivio, che sono circa un migliaio di schede
separate. Questa è una tecnica classica, che qualunque scraper o
raccattatore di informazioni conosce e applica.
Ognuna di quelle schede permette di vedere i dettagli dei clienti: per esempio
quelli dell’azienda in provincia di Macerata, che paga con ricevuta bancaria a
60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600
euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di
caffè con la carta di credito.
Lo so, conoscere nomi e cognomi di chi compra caffè non sembra un grosso
problema di sicurezza, visto che il consumo di questa bevanda non è
particolarmente controverso o privato, ma ovviamente il problema non è il
prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a
chiunque, anche a malintenzionati.
L’esempio più banale di questo problema è che un criminale potrebbe usare le
informazioni per chiamare la signora Antonella, quella di Genova, spacciandosi
per un addetto del servizio di sicurezza delle carte di credito che le
telefona per un controllo e dicendole con tono rassicurante che sta solo
verificando che lei abbia regolarmente acquistato quello specifico prodotto.
Il criminale potrebbe conquistarsi facilmente la fiducia della vittima,
descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato,
se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe
chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora” dice chiamandola per cognome “mi conferma i dati della carta con la quale ha effettuato il pagamento?
Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non
vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di
credito per errore.”
Certo, non tutti cadranno in questa trappola e comunicheranno i dati della
propria carta di credito, che il criminale potrà poi usare per commettere
frodi. Ma con migliaia di nominativi a disposizione in questo singolo
archivio, prima o poi il criminale troverà qualcuno che ci cadrà. E gli
basterà avere successo solo una volta ogni tanto.
È questo il problema generale dei dati lasciati a spasso: singolarmente
possono sembrare innocui o poco importanti, ma sono dei punti di appiglio
utilissimi per i criminali informatici. Per questo esistono standard tecnici e
leggi che regolamentano severamente la gestione dei dati personali. Leggi che
purtroppo non sempre vengono rispettate e che spesso vengono viste solo come
una scocciatura o una complicazione inutile.
Purtroppo in questo caso non sembrano esserci dati utili per risalire
all’identità del gestore maldestro di questa pagina Web. Ho provato a
contattare via mail alcuni clienti per chiedere se se la sentissero di dirmi
il nome della ditta alla quale avevano fatto l’ordinazione, ma finora non ho
avuto nessuna risposta. Il passo successivo sarebbe una segnalazione formale
al Garante per la protezione dei dati. Nel frattempo quei dati restano a
disposizione di qualunque malintenzionato.
Screenshot e dettagli:
https://attivissimo.blogspot.com/2023/02/dati-spasso-nomi-cognomi-e-indirizzi-di.html
Conclusioni
Quelli che ho raccontato sono solo tre piccoli esempi di data leak,
ossia di disseminazione non intenzionale di dati personali, che mi sono
capitati fra le mani nel giro di pochi giorni e non fanno notizia perché non
riguardano milioni di persone in un sol colpo ma in realtà sono purtroppo la
normalità quotidiana della gestione non sempre diligente delle nostre
informazioni digitali. Per fortuna esistono persone che invece di approfittare
di questi incidenti perfettamente evitabili lasciano avvisi o mandano
segnalazioni; è grazie a loro che ho potuto raccontarvi queste storie e
avvisare, almeno due volte su tre, i responsabili.
Se vi state chiedendo come mai in questa piccola rassegna di naufragi
informatici non ci siano siti svizzeri, la risposta è che i
data leak avvengono anche nella Confederazione, ma hanno
caratteristiche diverse. Così diverse che meritano una puntata a parte.
Grazie per aver seguito questa puntata del Disinformatico, una
produzione della RSI Radiotelevisione svizzera; gli spezzoni sonori sono stati
tratti dai film Eyes Wide Shut di Stanley Kubrick e
Questi fantasmi di Renato Castellani. Questo podcast viene pubblicato
ogni venerdì mattina presso www.rsi.ch/ildisinformatico, dove trovate
anche le puntate precedenti. Questa serie di podcast è disponibile anche su
tutte le principali piattaforme podcast.
Tutti i link ai siti citati e alle fonti di riferimento sono pubblicati presso
Disinformatico.info. Se avete commenti, correzioni o segnalazioni,
potete scrivermi una mail all’indirizzo paolo.attivissimo@rsi.ch. A
presto.