Logo ImpresaCity.it

Attenzione alla supply chain della sicurezza

Negli USA appaiono online i dati di milioni di richieste di mutuo. Non per colpa delle banche ma di un fornitore di un loro partner commerciale.

Redazione Impresacity

L'attenzione del pubblico e di molte aziende specializzate in sicurezza è concentrata, in questi giorni, sul "più grande furto di password", che poi è più semplicemente aver scoperto in rete un mega-archivio contenente dati raccolti in più riprese con diversi furti di password. Un rispettabile database da quasi 773 milioni di email di cui, però, solo 140 milioni circa sembrano essere nuovi, ossia non sono già stati catalogati come rubati in qualche azione di hacking ostile.

Rischia così di passare in secondo piano un altro caso minore che dovrebbe comunque essere considerato con attenzione dalle aziende, perché mette bene in evidenza come la sicurezza dei dati che devono gestire possa spesso finire al di fuori del loro diretto controllo. Un tema che le normative recenti come il GDPR hanno recepito.

Il caso riguarda diverse banche e istituzioni finanziarie americane che offrivano, e alcune offrono ancora, mutui e prestiti. Circa 24 milioni di documenti relativi a richieste di mutui e prestiti sono stati conservati in un database che, molto probabilmente per un errore di configurazione, è stato liberamente accessibile via Internet per circa due settimane.

Esaminando le informazioni raccolte da chi ha scoperto questa falla (Bob Diachenko) e da chi ha investigato con lui (TechCrunch), si capisce come il caso sia davvero emblematico di quanto la gestione delle informazioni da parte di aziende anche importanti possa "perdersi" in una sequenza di terze parti meno sicure. E fare danni di immagine anche a dieci anni di distanza, dato che alcuni documenti risalgono almeno al 2008.

Ecco come sembra siano andate le cose. Negli anni, diverse realtà americane che ricevevano le richieste di prestiti e mutui si sono servite della stessa azienda - Ascension - come fornitore di servizi per l'analisi di dati finanziari. Per le sue attività e anche come servizio, Ascension riceve documenti cartacei e li converte in digitale usando sistemi di OCR. A quanto pare non lo fa direttamente, o quantomeno non sempre. Ascension si è servita di un suo fornitore - OpticsML - che esegue la conversione dei documenti ed applica alcune funzioni di valutazione del credito finanziario sui dati raccolti.

La "falla" è stata di OpticsML, che per qualche errore non ha protetto adeguatamente almeno un database con conservati diversi anni di dati raccolti nella sua attività. Poiché molte delle informazioni apparse online sono sensibili, le realtà coinvolte (se esistono ancora) avviseranno i loro clienti interessati. Nel frattempo OpticsML è di fatto scomparsa, rendendo più complicate eventuali analisi forensi per capire meglio la portata dell'evento. Un altro rischio di cui tenere conto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.
Pubblicato il: 24/01/2019

Speciali

speciali

Cybersecurity: Bersaglio Mobile, non toccate quello smartphone!

speciali

Wake up and secure your cloud