Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per tenere conto degli aggiornamenti e per fornire un contesto più ampio.
Quasi sempre i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet da chiunque abbia una minima capacità informatica.
Per esempio, pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora.
Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di cliente ma è un avviso: “Buongiorno questo database è accessibile a chiunque via Internet”, tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è accorto che è non solo leggibile da chiunque ma è anche modificabile da chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.
Trovare queste perle non è difficile. Esistono motori di ricerca appositi, come Shodan, che ho citato tante volte qui e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, e prendono nota dei siti che hanno degli accessi non protetti. È sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente immettere le parole chiave giuste.
E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati anche da Google, appunto, anche se trovarli in questo modo richiede molta più fatica. Infatti nel caso che mi è stato segnalato, il sito contenente l’archivio di dati personali di assicurati italiani è non solo reperibile in Google ma è anche nella sua cache, ossia nella copia temporanea che Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno accessibili, almeno in parte, anche per qualche tempo dopo che il sito lasciato incautamente aperto sarà stato finalmente messo in sicurezza.
Qualche giorno fa ho contattato via mail quella che credo sia la ditta responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato che l’archivio non risultava più pubblicamente accessibile via Internet, anche se la copia cache è tuttora presente in Google. Probabilmente l’avviso lasciato in bella vista ha attirato positivamente l’attenzione dei responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.
Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.
