L'attenzione del pubblico e di molte aziende specializzate in sicurezza è concentrata, in questi giorni, sul
"più grande furto di password", che poi è più semplicemente aver
scoperto in rete un mega-archivio contenente dati raccolti in più riprese con diversi furti di password. Un rispettabile database da quasi
773 milioni di email di cui, però, solo 140 milioni circa sembrano essere nuovi, ossia non sono già stati catalogati come rubati in qualche azione di hacking ostile.
Rischia così di passare in secondo piano
un altro caso minore che dovrebbe comunque essere considerato con attenzione dalle aziende, perché mette bene in evidenza come la sicurezza dei dati che devono gestire possa spesso finire al di fuori del loro diretto controllo. Un tema che le normative recenti
come il GDPR hanno recepito.
Il caso riguarda diverse banche e istituzioni finanziarie americane che offrivano, e alcune offrono ancora, mutui e prestiti. Circa
24 milioni di documenti relativi a richieste di mutui e prestiti sono stati conservati in un database che, molto probabilmente per un errore di configurazione, è stato liberamente accessibile via Internet per circa due settimane.
Esaminando le informazioni raccolte da chi ha scoperto questa falla (
Bob Diachenko) e da chi ha investigato con lui (
TechCrunch), si capisce come il caso sia davvero emblematico di quanto la gestione delle informazioni da parte di aziende anche importanti possa
"perdersi" in una sequenza di terze parti meno sicure. E fare danni di immagine anche a dieci anni di distanza, dato che alcuni documenti risalgono almeno al 2008.
Ecco come sembra siano andate le cose. Negli anni, diverse realtà americane che ricevevano le richieste di prestiti e mutui si sono servite della stessa azienda - Ascension - come
fornitore di servizi per l'analisi di dati finanziari. Per le sue attività e anche come servizio, Ascension riceve documenti cartacei e li converte in digitale usando sistemi di OCR. A quanto pare non lo fa direttamente, o quantomeno non sempre. Ascension si è servita di un suo fornitore - OpticsML - che
esegue la conversione dei documenti ed applica alcune funzioni di valutazione del credito finanziario sui dati raccolti.
La "falla" è stata di OpticsML, che per qualche errore
non ha protetto adeguatamente almeno un database con conservati diversi anni di dati raccolti nella sua attività. Poiché molte delle informazioni apparse online sono sensibili, le realtà coinvolte (se esistono ancora) avviseranno i loro clienti interessati. Nel frattempo OpticsML
è di fatto scomparsa, rendendo più complicate eventuali analisi forensi per capire meglio la portata dell'evento. Un altro rischio di cui tenere conto.