Scovata una giganstesca falla, a rischio le informazioni personali di 1,2 miliardi di persone

La società di sicurezza Data Viper ha scoperto quella che è ad oggi una delle più grande falle di sempre relative alla sicurezza e alla privacy dei dati online: parliamo di un quantitativo di dati enorme (4 TB), che coinvolge oltre 1,2 miliardi di persone in giro per il globo.

I dati comprendono indirizzi email, numeri di telefono, nomi, informazioni sui profili di Facebook e LinkedIn, ed erano liberamente disponibili online a chiunque conoscesse l’indirizzo IP relativo (http://35.199.58.125:9200); come detto si tratta di una delle maggiori falle della storia recente, con oltre 4 miliardi di singoli set disponibili online senza alcuna protezione.

Il set di dati, molto stranamente, sembra originato da due differenti compagnie di data enrichment, ovverosia compagnie che si occupano di acquisire una singola informazione su una persona (come un nome o un indirizzo e-mail) ed espandere (arricchire) il profilo utente in modo da includere centinaia di nuovi set dati aggiuntivi (a prezzi molto bassi); ovviamente le società che decidono di arricchire un profilo utente acconsentono a fornire ciò che sanno sulla persona all’organizzazione arricchente.

Di seguito vi riportiamo un esempio di ciò che era visibile nel server Elasticsearch contenente tutti i dati e liberamente accessibile online.

Le due società di arricchimento sarebbero state individuate in People Data Labs e OxyData.Io, ma il server sopra citato e ospitato su Google Cloud sembrerebbe non appartenere a nessuna delle due società. Quelli di Data Viper non sono però riusciti a scoprire il responsabile della perdita dei dati, visto che il provider che ospita il server ha deciso di non condividere le informazioni per ragioni di privacy (sembra quasi una barzelletta, NdR); con buona probabilità, si tratterebbe di un cliente delle due società di arricchimento che avrebbe memorizzato i dati in modo improprio.

Potete approfondire la questione leggendo l’articolo pubblicato da Data Viper. In ogni caso potete controllare la solidità della vostra email a questo link; noi come al solito vi consigliamo di prestare molta attenzione ad attività sospette sui vostri account e di proteggere la vostra attività online con l’autenticazione in due passaggi, dove possibile.