Exactis è una piccola azienda che opera nel settore del marketing, con base in Florida, in America.
La maggior parte degli americani probabilmente non erano neanche a conoscenza della sua esistenza fino a che non hanno scoperto che questa piccola azienda ha subìto un data breach che ha esposto dati personali di praticamente tutti i cittadini americani.
La notizia è di maggio di quest’anno, quando il ricercatore informatico Vinny Troia ha scoperto che Exactis aveva esposto un database interno in cui erano registrati i dati di quasi 340 milioni di individui su un server accessibile.
Oltre 2 terabytes di dati di cittadini americani, oltre che di business.
I numeri precisi non sono stati pervenuti, in più non sembrano essere stati condivisi numeri di carte di credito e social security numbers (dei codici di 9 cifre che vengono assegnati a ciascun cittadino americano, usati per tenere traccia dei guadagni dei lavoratori e per identificare le persone fisiche).
Allora che dati sono diventati di pubblico dominio?
Numero di telefono, indirizzi di casa, indirizzo mail e informazioni personali quali interessi, abitudini, se si è possessori di animali domestici, età, sesso dei figli…
Un’invasione della privacy coi fiocchi, che regala dati utili al profiling e al marketing, come anche al furto d’identità e alle truffe.
“Non so da dove provengano i dati, ma è una delle collezioni più complete che abbia mai visto”
Queste sono le parole di Troia in merito alla scoperta da lui effettuata. Un database di cui non conosce bene il perché (a cosa servivano tutti questi dati?) ma che è straordinario nella sua capienza.
Lui stesso ammette che ogni persona che ha cercato, l’ha trovata.
Come ha fatto a trovarli?
Non è chiaro se qualche hacker o malintenzionato abbia avuto accesso al database, ma Troia dice che per lui è stato abbastanza facile trovarli.
Troia ha individuato il database mentre utilizzava lo strumento di ricerca Shodan, che consente ai ricercatori di scansionare tutti i tipi di dispositivi connessi a Internet. Dice di essere stato curioso della sicurezza di ElasticSearch, un tipo popolare di database progettato per essere facilmente interrogato su Internet utilizzando solo la riga di comando. Quindi ha semplicemente usato Shodan per cercare tutti i database ElasticSearch visibili su server accessibili pubblicamente con indirizzi IP americani.
Ciò ha restituito circa 7.000 risultati. Mentre Troia li attraversava, trovò rapidamente il database Exactis, non protetto da nessun firewall.
Secondo l’esperto è facile che altri abbiano trovato i dati.
Exactis ha messo in sicurezza i dati dopo essere stata contattata da Troia. Questo però non la solleva dalla responsabilità di aver reso pubblici dati privati dei cittadini americani.
Persone che probabilmente neanche sapevano di essere presenti nelle liste.
Un periodo critico per i dati
Il tema è ricorrente negli ultimi anni: le persone che navigano hanno ben poca consapevolezza dei rischi che corrono a livello di dati personali.
Il tema è scoppiato grazie al datagate di Cambridge Analytica, che ha aperto gli occhi delle persone sul tipo di dati che Facebook riusciva ad accumulare e del perché (ovvero: come li usava).
Con l’arrivo del GDPR in Europa il tema è diventato il fulcro di un dibattito ancora più grande e complesso.
Le aziende europee sono state obbligate a migliorare la protezione dei dati, sia a livello legale che informatico.
Non è un cambiamento facile, anzi…
Molte aziende sono ancora restie ad investire in un settore che non conoscono bene, oppure trovano superflua la protezione dei dati.
Ma pensate al tipo di danno che un’azienda incasserà se dovesse capitarle una fuga di dati di questo tipo.
Sicuramente perderà clienti, dovrà investire in misure di sicurezza d’emergenza per arginare la fuga di dati e in più subirà un danno d’immagine non quantificabile.
Ricordiamo solo che Cambridge Analityca ha chiuso i battenti a causa dello scandalo.
Il GDPR forse non è così male
Che in Europa la regolamentazione sia più severa rispetto agli USA è sintomo di una maggiore consapevolezza dei rischi e della volontà di responsabilizzare le aziende.
Nonostante la sua severità, non è una punizione ingiusta, ma necessaria.
Le aziende che devono ancora diventare GDPR compliance possono contattare Tekapp per una consulenza specifica.
Non perdete tempo, le multe sono salatissime.
#tecnologia #informatica #cybersecurity #sicurezzainformatica #gdpr