Il cloud è bello. Permette di accedere ai propri dati da qualunque dispositivo in qualunque momento, consente la condivisione e la collaborazione, riduce i costi aziendali. Ma quando è fatto male e configurato peggio, apre la strada a disastri di sicurezza e i dati personali diventano accessibili e rubabili da chiunque. Oggi vi racconto uno di questi disastri.
Mi arriva una segnalazione confidenziale tramite un’app di messaggistica sicura: un’azienda italiana ha un bucket Amazon completamente aperto e world-readable che causa un data leak gravissimo.
Traduzione: le scansioni dei documenti d’identità dei clienti di quell’azienda sono leggibili e scaricabili da chiunque usando un semplice programma di navigazione, senza dover digitare password o altro, in violazione di tutti i principi e le leggi sulla protezione dei dati personali. Nomi, cognomi, fotografie, tessere sanitarie, moduli con indirizzi di casa e date di nascita, insomma tutto quello che serve per un furto di identità di massa o per una serie di truffe online, è aperto e a disposizione di qualunque saccheggiatore.
Partiamo dalle basi. Un bucket è un contenitore di dati del servizio cloud di Amazon. Molti utenti comuni non lo sanno, ma Amazon, oltre a essere un immenso negozio online, è anche un grandissimo fornitore di servizi cloud. In pratica, numerosissime aziende di tutto il mondo affittano spazio sui server di Amazon e vi depositano i propri dati. Invece di costruirsi un cloud interno, con tutti i costi e le complicazioni del caso, creano un cloud sui computer di Amazon.
Il problema è che se questo cloud non viene impostato correttamente, i dati sono accessibili a chiunque, ossia sono leggibili da tutto il mondo: world-readable, appunto. Basta digitare in un qualsiasi browser il nome del bucket dell’azienda, che è facilmente reperibile o intuibile, seguito da .s3.amazonaws.com, e si ottiene un elenco di tutti i file presenti nel bucket.
A quel punto diventa banale creare un programma o script che legga questo elenco e si scarichi tutti i file del bucket della malcapitata azienda, creando una fuga di dati, ossia un data leak, di proporzioni epiche.
E in effetti il caso che mi è stato segnalato è particolarmente imbarazzante e grave. Ho verificato personalmente che i dati dei clienti dell’azienda, circa un migliaio di file, sono perfettamente accessibili: non faccio il nome dell’azienda per ovvie ragioni di sicurezza e mi limito a dire che si tratta di un nome piuttosto noto nel settore della fornitura di energia elettrica e di gas in Italia.
Vedo per esempio la carta d’identità di Francesca, che abita a Casalecchio di Reno, e anche la sua patente e la sua tessera sanitaria. Vedo i documenti di Aurora, nata a Bologna nel 1997, e quelli parecchio sgualciti di Roberto, nato a Prato nel 1975. Di queste persone vedo date di nascita, indirizzi di casa, fotografie a colori. E ce ne sono tante, tante altre, inconsapevoli del fatto che i loro dati personali sono a spasso sul Web. Se vi siete mai chiesti come fanno i criminali ad aprire conti correnti o abbonamenti telefonici o altri servizi senza usare i propri dati personali, ora avete la risposta.
—
Ora che l’emorragia di dati è accertata, resta il problema di cosa fare. È impraticabile contattare i singoli utenti per avvisarli che le scansioni dei loro documenti sono accessibili via Internet e che quindi devono fare attenzione a eventuali attivazioni fraudolente di servizi a loro nome ed eventualmente denunciare l’azienda in questione per violazione delle norme sulla riservatezza dei dati. Gli utenti da contattare sarebbero troppi, e comunque molti di loro sarebbero diffidenti verso chiunque li contattasse con un avviso del genere.
Le vittime dell’errore informatico resteranno quindi, purtroppo, all’oscuro di tutto. Si potrebbe allora contattare l’azienda in questione e avvisarla. Ma chi mi ha segnalato il problema dice di averlo già fatto, senza ottenere risultato. L’ho fatto anch’io, trovando con fatica nel sito dell’azienda l’indirizzo di mail del responsabile per la protezione dei dati, e gli ho scritto avvisandolo che avrei raccontato pubblicamente la vicenda. Al momento in cui registro questo podcast non ho ancora avuto risposta. Ma un primo risultato sembra che ci sia: poco dopo l’invio della mia mail, i dati non risultano più accessibili. Forse la segnalazione ha avuto effetto.
Purtroppo capita spesso che le aziende facciano invece finta di niente e continuino a lasciare in bella vista i dati dei loro clienti nonostante siano state avvisate. In casi come questi si finisce per fare una segnalazione al Garante per la privacy, che prende poi i provvedimenti del caso, che possono includere sanzioni molto elevate.
Queste sanzioni per chi commette errori grossolani dovrebbero in teoria fare da deterrente e indurre le aziende a lavorare con più attenzione, ma non sempre è così. In ogni caso, le sanzioni non risolvono il problema che le informazioni personali degli utenti sono ormai disseminate su Internet e non c’è modo di riprenderle. E ovviamente dati come la data di nascita o il nome e cognome non sono modificabili in caso di furto come si fa con le password.
L’unica, magra consolazione è che almeno alcuni dei documenti hanno una data di scadenza, per cui fra qualche anno le loro scansioni non saranno utilizzabili. Nel frattempo, a noi utenti, ai quali viene chiesto continuamente di mandare scansioni di documenti per fare acquisti e attivazioni online di ogni genere, non resta che alzare la guardia, rifiutando se possibile queste scansioni e facendo attenzione a eventuali avvisi di attivazione di servizi o di acquisti sospetti.