A fine febbraio ho segnalato il caso di un’azienda italiana che gestisce prenotazioni online per ristoranti che aveva lasciato accessibile online quello che sembrava essere un archivio dei dati dei propri clienti (circa 140.000).

L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare il nome dell’azienda.

Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.

Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale, ne segnalo alcuni:

• Shodan.io
• Binaryedge.io
• Zoomeye.org
• Censys.io
• FoFa.so

Prima che me lo chiediate: consultare i loro archivi, dopo aver creato un account, è legale e non costituisce violazione di domicilio informatico, visto che visitate le pagine di questi motori di ricerca e non quelle dei siti contenenti dati vulnerabili. Ma abusare delle informazioni contenute in questi archivi per violare un sistema informatico è palesemente illegale.

Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.