Dati top secret dell’esercito Usa a rischio spionaggio per un errore

L'esperto di sicurezza Chris Vickery,  al servizio di Upguard e già autore di precedenti segnalazioni su vulnerabilità dei sistemi informatici del Dipartimento della Difesa, di Accenture e di altri ancora, ha scovato sul Web un archivio di dati appartenenti all'agenzia di intelligence dell'Nsa e dello Us Army, il cui materiale risultava accessibile anche dall'esterno, nonostante contenesse anche materiale classificato come “sensibile” e “top secret”: all'orgine, probabilmente, un errore di configurazione.
La scoperta risale al 27 settembre, ma solo ora Upguard ha deciso di renderla nota, dopo aver presumilbmente allertato i diretti interessati. Servendosi semplicemente di un browser Web e di molta esperienza, Vickery ha trovato in Rete un bucket di Amazon Web Services S3 appartente a Inscom (Intelligence and Security Command), l'agenzia di intelligence a cui fanno riferimento sia l'Nsa sia l'esercito. Il suo nome era citato nel sottodominio del bucket.
Sorprendentemente, l'accesso a questo contenitore di dati da 100 gigabyte risultava configurato come “pubblico”. Il bucket conteneva 47 tra cartelle e file, liberamente accessibili, e per tre di questi elementi era possibile eseguire il download. Come se non bastasse, da alcune configurazioni tecniche è emerso che alcuni file erano da considerarsi classificati come “noforn”, un'etichetta che le agenzie di intelligence applicano alle informazioni sensibili e non condivisibili con governi stranieri, mentre altri erano marchiati come “top secret”. Attraverso alcuni metadati, invece, si è dedotto che in precedenza questo materiale era passato tra le mani di Invertix, un partner tecnologico di Inscom.
È dunque possibile che un amministratore di sistema di questa società abbia commesso un errore di configurazione, impostando il bucket di Aws come “pubblico”. Un errore molto grave, che “avrebbe potuto generare un danno non calcolabile o distruggere alcune tra le più importanti operazioni di intelligence del nostro Paese”, ha dichiarato Vickery. La sua domanda retorica resta sospesa: “Se anche le nostre più prestigiose istituzioni non sono in grado di proteggere i dati sensibili, che cosa dovremmo aspettarci dalle aziende e dagli enti pubblici?”.
A dire il vero, l'aura di prestigio intorno all'Nsa è evaporata da tempo, non solo in seguito alle rivelazioni di Edward Snowden e a considerazioni di etica e privacy, ma anche grazie all'opera degli Shadow Brokers. E se può stupire che errori di configurazione apparentemente banali capitino a realtà strutturate, grandi e abituate a gestire dati sensibili, basti ricordare il recente caso di Equifax e dei 145 milioni di cittadini esposti al rischio di truffe e furti di identità.