Audace colpo dei soliti ignoti online: malviventi digitali hanno sottratto 2,7 miliardi di dati degli utenti americani, incluso il prezioso numero della Social Security, che negli USA vale tutto: previdenza, pensione, accesso alla sanità, ma anche possibilità di rubare l’identità digitale di una persona, oppure di determinare il suo livello di accesso al credito.
Assieme ai numeri della Social security sono state rubate anche le informazioni associate: i nomi legali, gli indirizzi, i domicili e gli altri alias che permettono di dare profondità alla vita di una persona dal punto di vista legale.
I dati sono stati sottratti dalla NPD, la National Public Data, azienda che, nonostante il nome, è privata e raccoglie e rivende i dati per i controlli in background, eventuali pendenze nel casellario giudiziale americano e altre informazioni usate per gli accertamenti da parte delle investigazioni private.
Uno sporco lavoro, ma qualcuno lo fa
National Public Data non fa un lavoro che considereremmo accettabile in Europa, ma che è perfettamente legale negli USA, perché compila il suo database raccogliendo milioni di informazioni su persone di nazionalità americana e non solo (anche di molti europei che hanno a che fare con gli USA) tramite fonti pubbliche. Fa scraping automatico oppure manuale.
Già lo scorso aprile un gruppo di cybercriminali chiamati USDoD aveva cercato di vendere un database con 2,9 miliardi di dati di tutte le persone viventi negli Stati Uniti, Regno Unito e Canada, affermando di averlo rubato alla National Public Data. Il tentativo di vendita dei dati era arrivato alla cifra di 3,5 milioni di dollari.
Il ruolo di Fenice
Questo secondo furto, che dovrebbe essere accaduto prima del 6 agosto, sarebbe stato facilitato da un altro attore: Fenice. Infatti, il 6 di agosto Fenice avrebbe rilasciato sui forum online “Breached” il database, la versione più completa finora resa pubblica con 2,7 miliardi di dati. Fenice ha dichiarato che il furto sarebbe stato compiuto materialmente da SXUL e non da USDoD.
I dati di National Public Data sono stato “esfiltrati” dal suo database ma sono crittati. Il contenuto è molto approfondito e già in passato la National Public Data, che come abbiamo detto è un broker privato, era stata al centro di azioni legali compresa una class action, per l’impatto che i suoi “rapporti” hanno ad esempio sul punteggio per ottenere dei prestiti finanziari da parte dei cittadini americani.
Il maltolto
Ma cosa è stato rubato, con precisione? I dati includono più record duplicati per molte persone, con uno per ogni indirizzo in cui si sa che la persona ha vissuto. Il dump di per sé è una tabella testuale: comprende infatti due file di testo per un totale di 277 GB. Non è possibile per un ente indipendente confermare che i dati includano le registrazioni di ogni persona negli Stati Uniti, ma come sottolinea Bleeping Computer, è probabile che la violazione includa informazioni su chiunque viva nel Paese.
La verità è nel database?
Il sito specializzato in informazioni di cybersicurezza scrive infatti che diverse persone hanno confermato che le informazioni che il dump di dati ha su di loro e sui loro familiari (compresi alcuni parenti morti da tempo) sono accurate. Non sempre, però: in altri casi alcuni numeri della Social Security sono stati associati alle persone sbagliate.
Bleeping Computer ipotizza che le informazioni possano essere state rubate da un vecchio backup, poiché non includono l’ultimo indirizzo di casa delle persone i cui dati sono stati confrontati dai suoi giornalisti (inclusi quelli dei giornalisti stessi).
Negli USA è allarme e polemica. Allarme per capire come fare a difendersi da questo tipo di violazioni delle quali le vittime in realtà non hanno nessuna colpa. Vale infatti la pena di adottare alcune misure per proteggersi da eventuali ripercussioni negative della fuga di notizie, come frodi e furti di identità. I siti americani suggeriscono ai cittadini di essere vigili contro i truffatori e gli attacchi di phishing che cercano di ottenere l’accesso ai vostri account online.
Le polemiche dopo l’attacco
L’attacco ha però sollevato anche delle nuove polemiche sullo strapotere, e il rischio annesso, che aziende come National Public Data hanno nei confronti dei cittadini. Gli USA mancano completamente di una legge sulla privacy paragonabile al nostro GDPR europeo (nonostante il concetto giuridico di “privacy” sia stato creato proprio in quel paese alla fine dell’Ottocento) e si muovono su un assunto diametralmente opposto dal nostro.
Infatti, mentre in Europa i dati di una persona in linea di principio appartengono alla persona stessa che quindi ha diritto di darli e riprenderli come più gli aggrada, negli USA i dati sempre in linea di principio appartengono a chi li raccoglie che ha il diritto di farne sostanzialmente quel che ritiene più giusto (fondamentalmente, venderli).
Questa impostazione di principio è anche alla base della opposta visione (e capacità economica di monetizzazione) da parte dei big del tech, da Google a Meta, rispetto alle aziende europee.
Tutte le notizie che parlano di Sicurezza e Privacy sono disponibili ai rispettivi collegamenti.
