Parliamo di un caso reale, perché nulla come la realtà può dare indicazioni rispetto alla crescente attenzione che è ormai d'obbligo riservare alla sicurezza dei dati e alla privacy dei clienti delle aziende (e non solo).
I dati sensibili di circa 14 milioni di utenti Verizon sono stati esposti online fino a qualche giorno fa a causa del fatto che un contractor di terza parte ha dimenticato di limitare gli accessi esterni ad un server Amazon S3 che ospita un servizio di storage in cloud.
La scoperta è del gruppo di ricercatori di UpGuard, una compagnia di cyber-sicurezza che denuncia
spesso casi di leak dei dati: hanno scoperto che i server appartengono ad una azienda israeliana che si occupa della fornitura di strumenti di sorveglianza di massa a vari governi, software per operazioni di back-office e call center.
Il server esposto contiene i report del call center di Verizon
Per accedere al server bastava digitare l'URL nel browser. Il server contiene moltissimi file, la maggior parte in formato log. Le cartelle sono chiamate "Jan-2017" fino a "June-2017" e, al loro interno, c'è una cartella per ogni giorno del mese. Entro le cartelle "giornaliere" ci sono moltissimi archivi .zip, contenenti file txt con i dati sensibili riguardanti i clienti di Verizon: nomi, indirizzi, dettagli degli account e, in alcuni casi, anche il PIN dell'account. Lo stesso server ospita anche le registrazioni delle chiamate al supporto clienti di Verizon.
Per accedere al server bastava digitare l'URL nel browser. Il server contiene moltissimi file, la maggior parte in formato log. Le cartelle sono chiamate "Jan-2017" fino a "June-2017" e, al loro interno, c'è una cartella per ogni giorno del mese. Entro le cartelle "giornaliere" ci sono moltissimi archivi .zip, contenenti file txt con i dati sensibili riguardanti i clienti di Verizon: nomi, indirizzi, dettagli degli account e, in alcuni casi, anche il PIN dell'account. Lo stesso server ospita anche le registrazioni delle chiamate al supporto clienti di Verizon.
L'esposizione dei numeri PIN è un grosso problema, perché qualsiasi cyber criminale può usare questi PIN per accedere agli account al posto dei legittimi proprietari. In passato cyber-criminali hanno usato tecniche di ingegneria sociale (sfruttando proprio i dati di svariati leak) per frodare i call center delle compagnie di telefonia mobile al fine di associare nuove SIM al numero di telefono di un utente: scopo della cosa era accedere ad account protetti dall'autenticazione a 2 fattori per rubare soldi dagli account bancari, da PayPal o dai portafogli di criptovaluta.
Anche i dati dell'operatore di telefonia francese Orange sono esposti nel web
Lo stesso server ospita perfino i dati dell'operatore di telecomunicazioni francese Orange S.A, ma, in questo caso sembrano esposti solo dati interni all'azienda e non riguardanti i clienti.
Qualche conclusione...
Al di là dei tempi di risoluzione del problemi (il server è stato messo in sicurezza 9 giorni dopo la comunicazione da parte di UpGuard) questo evento rende necessario interrogarsi sui rischi a cui si viene esposti affidando i dati a contractor di terze parti. L'uso sempre più diffuso di "affidare" i dati a soggetti terzi titolari di servizi in cloud non "sposta" i rischi conseguenti allo stoccaggio e gestione di dati sensibili sul soggetto terzo, semplicemente li estende. Il nuovo regolamento europeo GDPR (General Data Protection Regulation), prevede si la figura del sub-responsabile del trattamento dei dati ma indica come responsabile ultimo non il sub-responsabile, ma il titolare.
Questo in termini legali: in termini di sicurezza dei clienti, l'esposizione di dati così sensibili non mette a rischio solo la privacy, ma espone anche i risparmi e la sicurezza personale del soggetto.
Il futuro prevede sempre più una gestione multi livello della quantità enorme di dati (che stanno diventando un bene preziosissimo), ma espone inevitabilmente aziende e clienti a nuovi rischi: progettare un serio piano di gestione dei dati e di pronto intervento in caso di data breach è ormai del tutto irrimandabile.
Fonti:
https://www.upguard.com/breaches/verizon-cloud-leak
https://www.bleepingcomputer.com/news/security/data-of-14-million-verizon-customers-exposed-in-server-snafu/
https://www.digital4.biz/executive/law4digital/gdpr-la-responsabilita-si-potra-delegare-nasce-la-figura-del-sub-responsabile_436721510400.htm
https://www.upguard.com/breaches/verizon-cloud-leak
https://www.bleepingcomputer.com/news/security/data-of-14-million-verizon-customers-exposed-in-server-snafu/
https://www.digital4.biz/executive/law4digital/gdpr-la-responsabilita-si-potra-delegare-nasce-la-figura-del-sub-responsabile_436721510400.htm
Nessun commento:
Posta un commento