4TB di informazioni e dati personali scovate in un server online: ci sono oltre 1,2 miliardi di voci

4TB di informazioni e dati personali scovate in un server online: ci sono oltre 1,2 miliardi di voci

Un ricercatore di sicurezza individua online un server non protetto e liberamente accessibile contenente, tra le altre cose, 50 milioni di numeri di telefono e 622 milioni di indirizzi email

di pubblicata il , alle 12:01 nel canale Sicurezza
 

Lo scorso mese di ottobre il ricercatore di sicurezza Vinny Troia ha trovato online ben 4 terabyte di informazioni contenenti 1,2 miliardi di voci: erano su un server non protetto e liberamente accessibile, che è stato individuato mentre, in compagnia del ricercatore Bob Diachenko, stava eseguendo una ricerca di vulnerabilità e falle tramite i servizi di scanning BinaryEdge e Shodan.

Si tratta di una raccolta veramente impressionante per dimensioni e che contiene, contrariamente a quanto si possa supporre in prima istanza, non numeri di carte di credito o password, ma profili di milioni di persone comprensivi di nomi, numeri di telefono, indirizzi e profili social network. Vi sono circa 50 milioni di numeri di telefono e 622 milioni di indirizzi email unici.

"E davvero una brutta faccenda che qualcuno abbia lasciato accessibile tutto ciò. E' la prima volta che vedo tutti questi profili social raccolti e integrati con informazioni individuali in un singolo database di questa portata. Dalla prospettiva di un attaccante, se l'obiettivo è di impersonare qualcuno o prendere controllo dei suoi account, hai a disposizione nomi, numeri di telefono e gli url degli account. E' tanta inormazione in un solo posto dove poter cominciare" ha commentato il ricercatore a Wired.

L'indirizzo IP del server punta ai servizi Google Cloud, motivo per cui il ricercatore non ha potuto sapere chi sia stato a raccogliere tutti i dati trovati in quel server. E allo stesso modo non è possibile sapere se qualcun altro abbia già individuato la preziosa raccolta e l'abbia già scaricata, tenendo comunque presente che il server era facile da individuare e senza alcun problema di accesso. Troia ha avvertito l'FBI e nel giro di poche ore il server con le relative informazioni non sono risultati più accessibili, anche se non è chiaro ad opera di chi dal momento che l'FBI non ha rilasciato alcuna dichiarazione sulla vicenda.

I Data broker e la compravendita di informazioni online

Altresì non chiara è l'origine di questa mole di informazioni, e il ricercatore afferma che si possa trattare di un insieme di quattro diversi database uniti insieme. Tre di questi risulterebbero contrassegnati da un identificativo che lascia supporre provengano da un data broker di San Francisco, People Data Labs, il quale afferma sul proprio sito web di possedere (e vendere) dati riguardanti 1,5 miliardi di persone a livello globale e che contengono un miliardo di indirizzi email, 420 milioni di url di profili Linkedin, oltre un miliardo di url di profili Facebook e 400 milioni di numeri di telefono.

Piccolo passo indietro: che cos'è e cosa fa un data broker? Si tratta di realtà che si occupano di setacciare fonti pubbliche per raccogliere informazioni sui consumatori, aggregarle e analizzarle e compilare raccolte suddivise per interessi o demografie. In questo modo i data broker possono realizzare un "catalogo" di raccolte da vendere agli interessati, che potranno sfruttare le informazioni in esse contenute per pianificare campagne di marketing mirate.

Sean Thorne, cofondatore di People Data Labs, afferma che la sua compagnia non è proprietaria del server che ha ospitato i dati. Thorne ammette però che l'ignoto proprietario del server ha "verosimilmente" usato uno dei servizi di People Data Labs, e che la responsabilità della corretta gestione del dato è nelle mani dei clienti una volta che i dati vengono venduti. E' comunque improbabile che questi dati possano essere frutto di una violazione della sicurezza della società, in quanto è molto più semplice acquistare direttamente la raccolta di informazioni. Anche un attaccante privo di particolari risorse potrebbe iscriversi al periodo di prova gratuita durante il quale People Data Labs fornisce 1000 profili al mese. Sfruttare numerosi account fantocci per attivare diversi periodi di prova renderebbe possibile appropriarsi di una mole consistente di informazioni.

Uno degli altri database è etichettato come "OXY" e così ciascuna voce al suo interno. Il ricercatore suppone che si potrebbe trattare di un altro data broker, Oxydata, che afferma di essere in possesso di 4 terabyte di informazioni che comprendono 380 milioni di profili sparsi per 195 paesi del mondo. Martynas Simanauskas, responsabile delle vendite b2b di Oxydata, afferma che la società non ha subito alcuna violazione e che non usa alcun tag "OXY" per contrassegnare i propri dati: "Sebbene una parte del database che Vinny ha trovato potrebbe essere stato acquisito da noi o da uno dei nostri clienti, non proviene di certo da una fuga di informazioni dal nostro database. Firmiamo accordi con tutti i nostri clienti che vietano strettamente la rivendita dei dati e li obbliga ad assicurare che tutte le appropriate misure di sicurezza siano messe in atto. Comunque non abbiamo modo di costringere i nostri clienti a seguire le migliori pratiche di protezione dei dati. A giudicare dalla struttura dei dati sembra chiaro che il database trovato da Vinny è il frutto del lavoro di una terza parte, con elementi generati da differenti fonti".

Il furto d'identità è il rischio più probabile

Il fatto che nessuno dei due broker abbia potuto escludere la possibilità che uno dei loro clienti abbia gestito i dati in maniera irresponsabile è un indice degli enormi problemi di sicurezza e privacy che permeano il mondo della compravendita di informazioni.

Troia ha condiviso le informazioni che ha scoperto con Troy Hunt, noto ricercatore di sicurezza che gestisce il sito HaveIBeenPwned, dove gli utenti possono verificare se i loro account sono stati compromessi durante qualcuno dei grandi incidenti di sicurezza saliti agli onori delle cronache negli anni passati. Hunt ha potuto, in questo modo, aggiungere oltre 622 milioni di nuovi indirizzi email unici al suo archivio.

Il fatto che informazioni di questo genere siano esposte online non significa necessariamente che hacker, criminali e malintenzionati vi abbiano avuto accesso, e spesso questo genere di dati derivano da fonti pubbliche come detto poco sopra. Il problema è che aggregandoli diventa possibile avere a disposizione risorse che possono creare un rischio reale di furti d'identità, forzatura di credenziali e truffe con episodi di phishing.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ComputArte30 Novembre 2019, 02:30 #1
...ma che avete timore a scrivere nel titolo che si tratta di un server nella galassia di GOOGLE... a scopo di INDICIZZAZIONE, ?!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^