Il cloud non protetto mette a rischio 123 milioni di famiglie statunitensi
I ricercatori di Upguard hanno scoperto un enorme archivio di dati personali di 123 milioni di famiglie statunitensi, lasciato esposto a occhi indiscreti per errore di una società di marketing analytics, a causa di una imprudente configurazione su un bucket AWS S3.
Una vera e propria miniera d'oro per spammer, truffatori cybernetici e ladri di identità, l'archivio era gestito dall'azienda Alteryx, operativa dal 2010 e domiciliata in California, ed è rimasto visibile a occhi indiscreti per errore.
La scoperta risale a inizio ottobre 2017, e non è la prima di questo genere a firma di UpGuard: basti ricordare l'opera di un suo ricercatore, cui si deve la denuncia di un madornale errore di chi gestiva archivi di dati sensibili dell'Nsa e dell'esercito Usa, o precedenti segnalazioni su rischi delle reti informatiche governative.
Questa volta a sbagliare è stata una società che raccoglie, analizza e rivende dati, ed è particolarmente grave il fatto che i database rimasti esposti attraverso il cloud contengano materiale di Experian, una fra le maggiori agenzie di reporting del merito creditizio, proprietaria di informazioni su più di 230 milioni di cittadini Usa. La restante parte dell'archivio è composta invece da statistiche e altre informazioni dell'ufficio del censimento degli Stati Uniti. Il tutto era stato affidato ad un bucket di Amazon Web Services S3, che risultava imprudentemente configurato come aperto, cioè accessibile da chiunque possieda un account AWS.
Come spiegato da UpGuard, “mentre i dati del Census consistono interamente in statistiche e informazioni già pubblicamente accessibili, il database di marketing ConsumerView di Experian, un prodotto che viene venduto ad altre società, contiene un insieme di dati pubblici e di altri più sensibili. Sommate fra loro, queste informazioni rivelano miliardi di dettagli di persone identificabili, e dati riguardanti potenzialmente ciascuna famiglia americana”.
Il repository rimasto pubblicamente esposto non contiene nessun nome e cognome, ma in compenso vi sono racchiuse ben 248 categorie di dati, in buona parte utili per risalire all'identità delle persone. Fra le altre cose, vi compaiono dettagli anagrafici, indicazioni di titoli di studio e professioni, indirizzi fisici, numeri di telefono, composizione della famiglia, profili creditizi, inclusi mutui e finanziamenti rischiesti negli anni, profili di comportamento ed acquisti online: è quello che Upguard definisce “uno sguardo particolarmente invadente nella vita dei consumatori americani”.
D'altra parte la stessa Experian, non senza vanto, definisce il suo ConsumerView come "il più vasto database sui consumatori al mondo". A detta dei ricercatori di sicurezza, eventuali malintenzionati che abbiano messo gli occhi su questo patrimonio informativo potrebbero lanciare operazioni di spam, ma anche realizzare furti di identità e truffe.
Una vera e propria miniera d'oro per spammer, truffatori cybernetici e ladri di identità, l'archivio era gestito dall'azienda Alteryx, operativa dal 2010 e domiciliata in California, ed è rimasto visibile a occhi indiscreti per errore.
La scoperta risale a inizio ottobre 2017, e non è la prima di questo genere a firma di UpGuard: basti ricordare l'opera di un suo ricercatore, cui si deve la denuncia di un madornale errore di chi gestiva archivi di dati sensibili dell'Nsa e dell'esercito Usa, o precedenti segnalazioni su rischi delle reti informatiche governative.
Questa volta a sbagliare è stata una società che raccoglie, analizza e rivende dati, ed è particolarmente grave il fatto che i database rimasti esposti attraverso il cloud contengano materiale di Experian, una fra le maggiori agenzie di reporting del merito creditizio, proprietaria di informazioni su più di 230 milioni di cittadini Usa. La restante parte dell'archivio è composta invece da statistiche e altre informazioni dell'ufficio del censimento degli Stati Uniti. Il tutto era stato affidato ad un bucket di Amazon Web Services S3, che risultava imprudentemente configurato come aperto, cioè accessibile da chiunque possieda un account AWS.
Come spiegato da UpGuard, “mentre i dati del Census consistono interamente in statistiche e informazioni già pubblicamente accessibili, il database di marketing ConsumerView di Experian, un prodotto che viene venduto ad altre società, contiene un insieme di dati pubblici e di altri più sensibili. Sommate fra loro, queste informazioni rivelano miliardi di dettagli di persone identificabili, e dati riguardanti potenzialmente ciascuna famiglia americana”.
Il repository rimasto pubblicamente esposto non contiene nessun nome e cognome, ma in compenso vi sono racchiuse ben 248 categorie di dati, in buona parte utili per risalire all'identità delle persone. Fra le altre cose, vi compaiono dettagli anagrafici, indicazioni di titoli di studio e professioni, indirizzi fisici, numeri di telefono, composizione della famiglia, profili creditizi, inclusi mutui e finanziamenti rischiesti negli anni, profili di comportamento ed acquisti online: è quello che Upguard definisce “uno sguardo particolarmente invadente nella vita dei consumatori americani”.
D'altra parte la stessa Experian, non senza vanto, definisce il suo ConsumerView come "il più vasto database sui consumatori al mondo". A detta dei ricercatori di sicurezza, eventuali malintenzionati che abbiano messo gli occhi su questo patrimonio informativo potrebbero lanciare operazioni di spam, ma anche realizzare furti di identità e truffe.