Record nella violazione dei dati: esposti due miliardi di dati personali

Le dimensioni e la portata delle violazioni dei dati continuano a crescere. Il nuovo record mondiale è stato stabilito dal servizio di email marketing Verifications.io, grazie ad alcuni database pubblici non protetti contenenti tutte le informazioni relative ai clienti. Sebbene le password dei suddetti clienti non fossero state esposte in chiaro, parecchi record contenenti dati personali lo erano.

A proposito di Verifications.io, si tratta di una piattaforma molto utilizzata dai marketer per verificare la posta elettronica. Negli anni la società sembra aver raccolto numerose informazioni a proposito dei contatti di clienti pubblici e privati, nonché di varie aziende. Il funzionamento è semplice, gli addetti al marketing inviano continuamente a Verifications.io elenchi di indirizzi e-mail da esaminare e convalidare come parte della loro preparazione per le campagne di email marketing.

I primi report hanno evidenziato che sono stati esposti pubblicamente circa 763 milioni di documenti, e da allora si sono raggiunti circa i due miliardi. I ricercatori hanno scoperto infatti che almeno quattro dei database dell’azienda erano aperti a chiunque fosse interessato a entrare, esponendo i dati e i relativi clienti a rischi quali truffa e furto di identità. Questi erano tutti in esecuzione su piattaforme MongoDB e localizzati a Miami.

L’azienda ha assicurato di aver già recuperato una grande quantità di dati personali indebitamente disponibili, inoltre ha affermato che i database sono stati esposti solo per un breve periodo di tempo e che non vi sono prove di accesso illecito da parte di terzi.

Sebbene tecnicamente la vicenda ha stabilito un record in termini di conteggio, questa violazione dei dati di posta elettronica è relativamente benigna rispetto ad altre perdite di dati recenti di dimensioni simili. Tuttavia bisogna tener presente che la violazione dei dati di Verifications.io potrebbe essere combinata con le informazioni provenienti da altre fonti, ad esempio i forum di hacking all’interno del dark web, per aiutare nel furto di identità.

Bisogna guardare a questa ennesima violazione dei dati come un promemoria che ci ricorda costantemente che i nostri dati personali sono al sicuro in maniera proporzionale alla sicurezza dell’azienda che ne è in possesso. A tal proposito Colin Bastable, CEO di Lucy Security ha osservato che: “È difficile rimanere sbalorditi, o anche solo leggermente sorpresi, dalla scala di insicurezza che esiste online. In un mondo interconnesso, in cui aziende e governi si dimenticano abitualmente di proteggere i dati, i consumatori dovrebbero presumere che i loro dati siano compromessi”.

Questa non è la prima volta che i database MongoDB vengono associati ad una grave violazione dei dati. I database MongoDB sono infatti molto popolari tra i cyber criminali, i quali di solito hanno la tendenza a crittografarli e riscattarli. Si tratta di obiettivi piuttosto comuni, in quanto non offrono immediatamente un’adeguata protezione, la quale dovrà invece essere configurata successivamente e in maniera non automatica.

In questo caso, l’errore principale commesso da Verificatioon.io riguarda la sua politica di archiviazione dei dati. Infatti, non solo il database era aperto al pubblico, ma tutto era archiviato in chiaro. L’azienda a rivelato a tal proposito che, dal momento che le informazioni interessate dalla violazione dei dati di posta elettronica erano comunque pubblicamente accessibili, non ha ritenuto necessario che queste fossero adeguatamente protette. Tale atteggiamento non è legalmente perseguibile negli Stati Uniti, a differenza dell’UE, la quale avrebbero imposto all’azienda pesanti multe.

La violazione di Verifications.io è l’ennesimo caso in cui la sola crittografia avrebbe ridotto i danni potenzialmente a quasi zero. Infatti, se ci fosse stata una policy relativa all’uso della crittografia per tutte le informazioni che consentono identificazione degli interessati, gli intrusi di turno non sarebbero riusciti ad ottenere nulla di utile.