Groupon, database degli utenti Indiani indicizzato da Google

L'intero database della sussidiaria Indiana di Groupon (Sosasta.com) è stato reso pubblico e, conseguentemente, indicizzato da Google. Il database, secondo le stime fornite, contiene gli indirizzi e-mail e le password dei circa 300,000 utenti iscritti al servizio. La breccia di sicurezza sarebbe stata scoperta da un consulente di sicurezza informatica Australiano, Daniel Grzelak, durante una ricerca di eventuali database con accesso pubblico che contenessero e-mail e password.

La ricerca di Grzelak è stata portata avanti semplicemente con Google; secondo quanto affermato dallo stesso consulente "poche ore dopo aver affinato la mia ricerca, il database è spuntato. Ho cominciato a guardare il database e non riuscivo a vederne la fine: mi sono reso così conto di quanto fosse grande e importante".

Il risultato della ricerca di Grzelak è arrivato a sorpresa: il consulente, infatti, stava semplicemente eseguendo delle ricerche da inserire all'interno del proprio progetto shouldichangemypassword.com, un sito che collega a database compromessi per controllare che i propri dati siano al sicuro.

Il progetto del consulente australiano include database che sono stati esposti a 17 breccie recentemente rilevate. Secondo quanto riportato dallo stesso Grzelak al momento ci sono circa 1,3 milioni di profili registrati.
La notizia, riportata da Risky.biz a questo indirizzo, è stata immediatamente girata al CEO di Groupon Andrew Mason. Il database è stato immediatamente rimosso e l'azienda ha lanciato una indagine interna per scoprire come questo sia stato possibile.

Groupon ha inoltre contattato tutti gli utenti di Sosasta, avvertendoli dell'incidente e comunicando che le password utilizzate per accedere al servizio, potrebbero essere state compromesse. Secondo Grzelak questo tipo di problemi sono in realtà molto diffusi e ci sarebbero migliaia di database disponibili e indicizzati da Google. Il caso di Sosasta è però al momento una delle realtà più grandi incontrate.
A seguire lo statement di Groupon, in lingua inglese:

"On Friday morning India time (Thursday night Central US time), Groupon was alerted to a security issue potentially affecting subscribers of Sosasta, a website acquired by Groupon in January 2011. After being alerted to this issue by an information security expert, we corrected the problem immediately. We have begun notifying our subscribers and advising them to change their Sosasta passwords as soon as possible. We will keep our Indian subscribers fully informed as we learn more. Sosasta runs on its own platform and servers, and is not connected to Groupon sites in other countries. We are thoroughly reviewing our security procedures for Sosasta and are implementing measures designed to prevent this kind of issue from recurring. This issue does not affect data from any other country or region. Groupon takes security and privacy very seriously. Our users' trust is of paramount importance to us and we deeply regret this incident. We will provide more information as soon as possible".

Non è un segreto che, per molti utenti, la password di acceesso sia univoca e molto spesso la sola: in generale, per comodità, viene più semplice ricordasi un'unica password. Questo atteggiamento, sicuramente spinto da pigrizia rappresenta però, in casi come quello qui analizzato, un serio pericolo.