Server senza protezione: esposti dati di utenti Time Warner e veterani USA

Set 07, 2017 Marco Schiaffino Gestione dati, Leaks, News, RSS 0

I server cloud aperti a chiunque si collegasse. Esposti i dati di 4 milioni di clienti, tra i militari soggetti con accesso a informazioni Top Secret.

Chiamiamola pigrizia, distrazione o sciatteria. Fatto sta che la cronaca registra il moltiplicarsi di casi in cui dati sensibili rimangono esposti su Internet all’interno di server che non hanno alcun tipo di protezione. E non stiamo parlando di crittografia: ma della semplice impostazione di username e password all’accesso.

È il caso di Broadsoft, un’azienda specializzata in servizi IT che avrebbe lasciato la bellezza di 600 GB di dati alla mercé di chiunque si collegasse al server in cui i dati erano conservati. Tra le altre cose, questo conteneva anche un database con le informazioni personali riguardanti 4 milioni di utenti del servizio di TV via cavo Time Warner.

A scoprirlo è stato il Kromtech Security Center, che in un report pubblicato qualche giorno fa, ha spiegato come sia potuto accadere che i dati siano rimasti esposti in questo modo.

Ancora una volta il problema è legato alle procedure e al classico errore umano. Come spiegano i ricercatori del Kromtech Security Center, il server (ospitato su Amazon) è stato individuato con una semplice ricerca usando il suffisso “test”.

Secondo i ricercatori, è piuttosto comune che i tecnici che lavorano sulle infrastrutture cloud facciano dei backup dei dati e li usino per verificare il funzionamento dei sistemi prima di implementare i servizi veri e propri.

L’idea che un database sia lasciato online senza un sistema di controllo delle credenziali sembra assurda, ma capita più sesso di quanto ci si aspetterebbe.

Purtroppo è anche abbastanza comune che si dimentichino della loro esistenza e li lascino online, spesso senza alcuna protezione. In questo caso il server di Broadsoft era accessibile a chiunque attraverso accesso anonimo, un’impostazione diversa da quella predefinita di Amazon, che i tecnici devono aver utilizzato per le loro prove e che poi si sono dimenticati di modificare.

Peggio ancora avrebbe fatto un’azienda statunitense che sui suoi server avrebbe lasciato esposti i curricula di migliaia di aspiranti collaboratori.

Il punto è che l’azienda in quesitone si chiama TigerSwan ed è uno dei tanti contractor che lavorano con il governo USA affiancando l’esercito a stelle e strisce. Insomma: i curricula in questione riguardavano ex-militari passati al settore privato e la documentazione conteneva tutti i dettagli riguardo qualifiche, azioni a cui avevano preso parte e anche eventuali privilegi nell’accesso a documenti Top Secret.

Il server è stato individuato da Upguard, che ha immediatamente avvisato TigerSwan. Stando a quanto risulta da un comunicato ufficiale pubblicato dall’azienda, la responsabilità del leak sarebbe di TalentPen un’impresa a cui TigerSwan si appoggiava (e pensiamo non lo farà più) per reclutare i mercenari.

L’azienda ha adesso messo a disposizione un numero telefonico, invitando chiunque abbia inviato un curriculum tra il 2008 e oggi a contattarli per verificare se il curriculum che hanno inviato contenga informazioni personali.

Condividi l'articolo