Dopo Facebook, ecco palesarsi un altro eclatante caso di (presunto) data breach.
Vediamo i preoccupanti aspetti più salienti della questione e come la “follia di questo mondo” stia proponendo cure (o palliativi) peggiori del male.
Chiara Ponti e Renato Castroreale
L’analisi della notizia
Parrebbe che siano tutt’ora in vendita 21 milioni di profili LinkedIn, contenenti dati personali (tra cui indirizzi e-mail, numeri di telefono, eventuali CV, esperienze lavorative, certificazioni, attestati, pubblicazioni, ecc.).
La questione è alquanto preoccupante poiché attraverso questi dati (specie se utilizzati congiuntamente) è facile costruire finti profili/furti di identità o utilizzare tecniche di social engineering al fine di perpetrare attacchi malevoli verso anche Organizzazioni.
Parrebbe che non si sia trattato di una sottrazione diretta di dati dai server di LinkedIn, ma di un altro caso di scraping, come già avvenuto per Facebook.
La situazione resta quindi assai grave, ed altrettanto preoccupante per una probabile escalation di questo tipo di attacchi.
Alla luce delle prime evidenze ancora al vaglio, si tratterebbe del trafugamento di circa un miliardo di dati di varia natura, riconducibili tra l’altro a circa 21 milioni di italiani.
Dati che risultano essere stati messi in vendita sul dark web a pacchetti di 1.500,00 euro cadauno.
Le responsabilità
Quando decidiamo in modo più o meno consapevole, di iscriverci a quella che di fatto è oggi la “vetrina” sul mondo del lavoro, cediamo parte delle nostre informazioni (talvolta anche particolari – ex sensibili) a terze parti.
Ma che fine fanno i nostri dati?
Ancora troppo spesso non pensiamo abbastanza agli episodi che come questo potrebbero verificarsi, ed è cosi che si creano i presupposti che questi accadano in un men che non si dica.
Difficile pertanto allocare precise responsabilità in tale ambito, giacché da un lato abbiamo un operatore di servizi di primaria importanza come LinkedIn (tenuto ad adottare adeguate misure di sicurezza a protezione dei dati personali), e dall’altro abbiamo nostri dati pubblicati o facilmente reperibili (tramite la richiesta di “collegamento” ad un altro profilo).
Il tutto con l’aggravante di tecniche di attacchi sempre più sofisticate ed efficaci.
I rischi di sicurezza
Osservando l’accaduto in termini di sicurezza, l’elemento più eclatante è quello della mole di dati presumibilmente trafugati, e quindi venduti al miglior offerente.
Tecnicamente il data scraping non è una metodologia di raccolta di credenziali particolarmente complessa, anzi risulta essere piuttosto semplice da attuare, ed in tempi anche contenuti.
LinkedIn e Facebook: due casi con aspetti comuni
Sia LinkedIn che Facebook potevano evitare quanto accaduto.
Entrambi infatti erano già al corrente del rischio “scraping” dal 2017, ma ciò nonostante hanno preferito ignorare il problema.
Rammentiamo che la tecnica di scraping utilizza dei semplici software (bots) di facile sviluppo, che consentono di accedere ai siti web e poterne scaricare l’intero contenuto.
Dato che la stessa tecnica viene utilizzata da bots non malevoli (come ad esempio quelli di Google) spesso diventa difficile distinguere un vero attacco da un’attività lecita.
Intendiamoci: difficile ma non impossibile, e da due colossi quali LinkedIn e Facebook ci dovrebbe essere una soglia di attenzione assai più elevata.
L’intervento dell’Autorità Garante
In data 8 aprile, il Garante ha dichiarato che, dopo il furto di dati è stata avviata un’istruttoria relativamente al social network, avvertendo che l’utilizzo dei dati provenienti dalla violazione è illecito.
Di seguito, riportiamo integralmente il comunicato:
«Il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di LinkedIn a seguito della violazione dei sistemi del social network che ha determinato la diffusione di dati degli utenti, compresi ID, nominativi completi, indirizzi email, numeri di telefono, collegamenti ad altri profili LinkedIn e a quelli di altri social media, titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti. Contestualmente, l’Autorità ha adottato un provvedimento con il quale avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che il loro eventuale utilizzo è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati, ricorda il Garante, comporta conseguenze, anche di carattere sanzionatorio. Anche tenuto conto del fatto che l’Italia è uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma, l’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account. Questi dati infatti potrebbero essere utilizzati per una serie di condotte illecite, che vanno dalle chiamate e dai messaggi indesiderati sino minacce gravi come le truffe on line o il furto di identità o a fenomeni come il cosiddetto “SIM swapping”, una tecnica utilizzata per violare determinate tipologie di servizi online che usano il numero di cellulare come sistema di autenticazione.»
Gli imbonitori del mestiere: le tragicomiche conclusioni
Non di meno preoccupanti sono gli improvvisati rimedi proposti da improbabili fornitori, volti a valutare l’effettiva esposizione dei propri dati o peggio per tentare un recupero gratuito degli stessi dal dark web. No!
Fate attenzione a non cadere in queste possibili trappole, poiché molte di queste soluzioni sono a loro volta un ulteriore tentativo di carpire informazioni/dati personali.
Nessuno è dotato di “bacchetta magica”, ed è in grado di produrre (tanto meno gratuitamente) pronte soluzioni per il recupero dei dati trafugati.
Nessuno regala nulla per niente.
Altra interessante chiave di lettura è quella che tali software, seppur leciti e realizzati in buona fede senza alcun intento fraudolento, in realtà si muovono in un terreno alquanto delicato, partendo da una raccolta illegittima (in assenza dei requisiti minimi di cui al GDPR) fin ad arrivare talvolta ad una vera propria forma di ricettazione penalmente rilevante ai sensi e per gli effetti di cui all’art. 648 c.p..
