Data Breach: quali sono stati i peggiori casi della storia?

Torniamo a parlare di perdita di dati, anche in base al fatto che nell’ultimo anno la frequenza di questi eventi, già abbastanza alta, sta continuando inesorabilmente ad aumentare anche, ma non soltanto, in base ad errori umani e scarsa protezione e manutenzione dei sistemi, sebbene gli utenti della rete ci mettano come sempre del loro. È sempre necessario pensare in questi casi che gli hacker puntano ad entrare in possesso di una mole di dati in grado di dare maggior potere di ricatto sulle vittime, che quindi sono tendenzialmente di alto livello. Chiaramente ciò non esclude a priori che queste offensive colpiscano soggetti apparentemente più piccoli ed è per questo che continuamente consigliamo di dotarsi di tutti gli strumenti necessari alla propria protezione, sia che si diriga un’azienda di grosse dimensioni sia che si possegga un negozio online nel cui database sono contenuti i dati dei clienti, fossero solo qualche decina o centinaio.

In questo approfondimento facciamo qualche passo indietro nella storia recente per vedere come e quanto possono essere gravi i peggiori scenari riguardanti un data breach esaminando un po’ più da vicino cinque grosse perdite di dati annoverate come le più gravi della storia. Per ordine di apparizione, ma come vedremo non solo, si parte proprio dall’anno in corso con quello che è stato battezzato RockYou2024, balzato subito in cima alla classifica della quantità di dati rubati.

Questa pubblicazione massiva ha riguardato dieci miliardi di password di utenti ignari della rete, che a quanto pare sono state raccolte dai criminali da forum online specializzati nel furto di questi fattori. L’accumulo di tutti questi dati sembra essere stato semplice per gli hacker, poiché sembrano provenire da un discreto numero di attacchi informatici avvenuti anni prima e infatti nell’omonimo anno si parlò molto dell’enorme perdita di dati RockYou2021. Si è stimato che la “colpa” di questa grossissima raccolta di password è dipesa nell’83% dei casi a chiavi deboli scoperte con un algoritmo di creazione di ipotesi in un lasso molto breve di tempo, mentre meno del 5% delle password aveva una forza considerata accettabile.

Tornando poi indietro di 4 anni vogliamo ricordare l’attacco al sito Cam4, un contenitore di videochat-room per adulti che a causa di un problema di origine umana ha esposto 11 miliardi di record dei suoi utenti. In questo caso non si trattava però di password, perché un errore di configurazione del server sul quale si appoggiava la piattaforma ha esposto sia dati personali (nome, cognome, ecc…) che dati più privati come l’orientamento sessuale ed altri dettagli sulle preferenze dei visitatori, che per poter fruire della piattaforma dovevano per forza inserire queste informazioni. Solo la velocità degli sviluppatori ha fatto sì che questo non si sia trasformato nel peggior data breach della storia, ciò perché l’esposizione di dati è durata pochissimo e non è stato evidentemente possibile trafugare nulla dal database che poi è stato anche cancellato del tutto.

Per rimanere sempre sulla quota dei miliardi di dati rubati è necessario parlare di un attacco difficilmente ubicabile nel tempo a causa della “omertà” della vittima, ovvero Yahoo!, che in una data compresa tra il 2012 e il 2014 si è vista rubare tutti i dati di tutti gli utenti. La gravità di questo attacco e del furto risiede in diversi fattori determinanti quali la scarsa trasparenza, visto che l’ammissione è avvenuta apparentemente anni dopo, e le modalità di attacco, poiché pare che tutto sia iniziato a causa di un mero attacco phishing. La scarsa trasparenza si è vista anche sulle cifre, che sono andate a salire via via che continuavano ad uscire messaggi ufficiali sull’accaduto, passando quindi da poche centinaia di milioni all’ammissione, avvenuta tre anni dopo, di aver perso i dati di tutti i tre miliardi di utenti. Un ulteriore passaggio sulla gravità è quello relativo all’effettivo furto, poiché sono stati rubati sia dati personali che accessi, che gli hacker hanno potuto sfruttare all’insaputa degli utenti per tutti gli altri login che utilizzavano le medesime chiavi d’accesso.

Passiamo invece ad un attacco avvenuto in India ai danni di una importante azienda, la Unique Identification Authority of India (UIDAI) che non è altro che la banca di dati biometrici più grande al mondo. In questo caso, quindi, ad essere state trafugate sono state le chiavi biometriche di cittadini indiani, utilizzate chiaramente per accedere a dispositivi e ad applicazioni personali come l’home banking. La quantità di dati biometrici rubati sembra ammontare ad oltre 1 miliardo ed è successo, nel 2018, ad uno dei paesi che già al tempo era tra i più avanzati nell’utilizzo di questa tecnologia per autenticazione. Oltre al danno vanno considerate anche due beffe successive, innanzitutto per via del prezzo irrisorio al quale son stati venduti i dati, ma anche per il successivo furto di 815 milioni di dati avvenuto pochi anni dopo sempre ai danni di UIDAI.

Dulcis in fundo parliamo di una delle aziende che come abbiamo visto anche recentemente risulta essere sempre al centro delle attenzioni degli hacker, ovvero Facebook, che nel 2019 ha subito, e con essa i suoi utenti, il furto dei dati di 533 milioni di utenti. Il problema anche in questo caso è stata la scarsa trasparenza così come la portata del furto, questo perché in primis Facebook ha taciuto l’accaduto per due anni pur sapendo che cosa era accaduto, ed in secondo luogo i dati rubati appartenevano non solo a utenti “qualsiasi” ma anche a pagine di personaggi pubblici. Il problema in questo caso è provenuto da una vulnerabilità riscontrata e gestita, come detto, due anni prima ma che non era stata comunicata, cosa per la quale Facebook è stata pure condannata con una multa di diverse centinaia di milioni.

Ovviamente guardando questi casi in rassegna capiamo, come abbiamo detto nel preambolo, che l’errore umano che sta alla base dei data breach non è sempre e solo imputabile all’azienda che li perde ma anche agli utenti un po’ più distratti e meno guardinghi, che utilizzano chiavi d’accesso deboli o replicate da portale a portale. È sempre più necessario, invece, anche alla luce degli eventi ai quali assistiamo mese dopo mese, iniziare a gestire le proprie credenziali in modo differente senza aspettare che la grande azienda lo faccia per noi, perché non lo farà. L’unica cosa che possiamo e dobbiamo aspettarci è invece che quest’ultime siano proattive e che comunichino sempre i problemi che coinvolgono i dati di tutti gli utenti, per avvisare dei potenziali rischi in modo trasparente.

 

Fonte: 1