Un miliardo e mezzo di file con dati sensibili online senza protezione

Un’enorme quantità di dati di persone e aziende è esposta su Internet e facilmente accessibile a chi ha un minimo di know-how tecnologico, come dimostra una ricerca di Digital Shadows. Buste paga, referti medici, dichiarazioni di redditi, carte di credito o brevetti sono documenti privati con dati sensibili visibili a tutti su Internet che possono essere facile preda di cybercriminali.
Sono oltre 1 miliardo e mezzo i file di questo tipo trovati online dai ricercatori di Digital Shadows che hanno setacciato il web nei primi 3 mesi del 2018.

Un ammontare di dati non protetti di persone e aziende, di grandezza pari a 12mila terabyte, migliaia di volte più ampio dei Panama Papers (2,6 terabyte), fascicoli riservati digitali, oggetto, nel 2016, di una inchiesta giornalistica di denuncia sulle società offshore, registrate nei paradisi fiscali.
Il materiale rintracciato da Digital Shadows – la cui ricerca viene pubblicata quando è alle porte l’entrata in vigore del Regolamento Ue (GDPR) che stabilisce una normativa più stringente in materia di protezione dei dati e di sicurezza digitale – è in massima parte (36 per cento) proveniente dall’area europea. Ma gli Stati Uniti rappresentano la maggiore quantità come singolo paese (16 per cento). Mentre in Italia sono oltre 66 milioni i file individuati.
I dati scoperti sono disponibili, esposti online e, spiega Rick Holland, responsabile della sicurezza delle informazioni di Digital Shadows, sono accessibili a chiunque abbia un minimo di conoscenza sul funzionamento di Internet e della tecnologia web.
Si tratta di documentazione reperibile attraverso servizi di archiviazione cloud come Amazon Simple Storage Service (7 per cento), oppure, principalmente, sfruttando la vulnerabilità di protocolli SMB (33 per cento) per condivisione di stampanti o file, e FTP (26 per cento) per il trasferimento di file.
Due scenari

Secondo Pierluigi Paganini, Chief Technology Officer presso CSE Cybsec, e membro del “Threat Landscape Stakeholder Group” dell’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione), i risultati ottenuti da Digital Shadows «non devono stupirci ma sono solo la punta dell’iceberg. Il quantitativo di dati esposti in rete è davvero impressionante e talvolta può bastare una semplice ricerca per mettere alla luce documenti riservati lasciati privi di protezione».

Per Paganini, bisogna distinguere «due scenari che sono alla base dell’esposizione di questa enorme mole di informazioni : la cattiva configurazione di un dispositivo oppure l’hacking dello stesso».
Nel primo caso, «…» assistiamo al ritrovamento di interi archivi esposti in rete e accessibili a tutti coloro sono in grado di trovare le macchine che li ospitano, siano essi bucket (contenitori) di Amazon Simple Storage Service (Amazon S3), server o NAS (Network Attached Storage, l’equivalente di dischi rigidi condivisi in rete). Qui, siamo davanti ad amministratori distratti che dimenticano di proteggere i dati con meccanismi di autenticazione con il risultato che chiunque trovi l’indirizzo IP delle macchine riesce ad accedere al loro contenuto. Purtroppo, con allarmante frequenza si trovano online interi repository pieni di dati di ogni genere, sanitari o militari».
Come esempi clamorosi, si possono citare i documenti top secret appartenenti alle agenzie di intelligence USA e i dati di milioni di abbonati del colosso Time Warner Cable , esposti online su Amazon S3.

Nel secondo scenario, invece, si sfruttano falle note in protocolli di vario genere, come quelli per per la condivisione di file (SMB ecc.) per accedere a interi archivi.
«In tal caso, spiega Paganini, parliamo di veri e propri attacchi, spesso eseguiti con strumenti automatici che consentono la scansione di milioni di indirizzi IP in rete in poco tempo ed una volta individuati sistemi vulnerabili procedere allo sfruttamento della falla mediante dei codici opportuni (exploit).
Sempre in questo secondo scenario ricadono i casi in cui gli attaccanti ricercano FTP server in rete e provano con attacchi di forza bruta ad accedervi, ovvero una serie di combinazioni username/password di uso comune memorizzate all’interno di un dizionario. A questo punto, se il server FTP è protetto da credenziali deboli (username “admin” e password “1234”) per l’attaccante è un gioco da ragazzi accedervi» .

Rischio per consumatori e dipendenti
Stando al rapporto di Digital Shadows, i dati più frequentemente esposti online sono quelli delle buste paga e delle dichiarazioni dei redditi, pari rispettivamente a 700mila e 60mila file ritrovati. Se in mano a malintenzionati, le informazioni contenute in questo materiale potrebbero essere utilizzate per commettere frodi o furti di identità.
D’altra parte, i ricercatori Digital Shadows mostrano anche come sia facile accedere a dati sanitari con grave danno alla privacy. Soltanto in Italia, sono stati scoperti oltre 2 milioni di file con immagini relative a diagnosi e test medici, esposti su un unico canale SMB.
«Il volume dei dati sensibili esposti in rete – ammonisce Rick Holland – dovrebbe essere motivo di preoccupazione per qualsiasi organizzazione attenta alla sicurezza e alla privacy».