Rubati a Equifax i dati di metà degli americani. Equifax è quella che doveva proteggerli contro i furti

Fonte: Kenn White.
Stanotte è stato reso pubblico un furto di dati ai danni di circa 143 milioni di americani, cioè il 44% della popolazione. Numericamente ci sono stati casi peggiori, come quello dei dati di 412 milioni di utenti del sito d'incontro AdultFriendFinder l'anno scorso e quello che ha colpito un miliardo e mezzo di utenti di Yahoo.

Ma questo furto di stanotte è particolarmente pesante per il tipo di dati rubati: nomi e cognomi, numeri della previdenza sociale, date di nascita, indirizzi, numeri di patente di guida e in alcuni casi anche dati di carte di credito. In altre parole, dati perfetti da usare per compiere truffe spacciandosi per qualche autorità o impersonando qualcuno. E soprattutto dati che, a differenza di una password, non si possono cambiare. Nomi, cognomi e numeri di previdenza sociale sono validi per sempre.

La cosa particolarmente bruciante di questo furto recentissimo è la fonte: è Equifax, ossia una delle più grandi società statunitensi dedicate alla gestione delle violazioni dei dati personali. Quando un’azienda subisce un furto di dati, protegge i propri clienti rivolgendosi a Equifax. Ma stavolta chi proteggerà i 143 milioni di utenti, che dipendono proprio da Equifax per cose come prestiti e crediti?

Cosa peggiore, Equifax ha reagito al furto in maniera disastrosa: ci ha messo cinque settimane a rivelarlo, e il sito che ha creato per consentire agli utenti di verificare se sono stati rubati i loro dati personali, www.equifaxsecurity2017.com, non ha le sicurezze di base e non è neanche registrato a nome di Equifax, tanto che le applicazioni di sicurezza e i servizi di protezione come OpenDNS lo hanno segnalato come sito potenzialmente fraudolento.

Per saperne di più consiglio di leggere le ricostruzioni e le analisi di questo epic fail fatta da Ars Technica e da Brian Krebs: contengono lezioni importanti per qualunque azienda e governo che abbia digitalizzato la gestione dei propri clienti e cittadini e pensi di aver fatto abbastanza.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: scomodo, ma necessario per mantenere la qualità dei commenti.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni su regole e utilizzo dei commenti sono reperibili nella sezione apposita.
Commenti
Commenti (10)
Leggendo l'articolo di Ars Tecnica, mi pare di capire che la falla è aggravata dal fatto che quelli sono i dati che, in america, servono a dimostrare l'identità di una persona.

Beh, io sono uno che ha a che fare colla burocrazia tutti i giorni e che ha sempre invidiato la snellezza che esiste all'estero, ma, nonostante ciò, ritengo assurdo che ci siano paesi come gli USA senza un ufficio anagrafe.

Da noi un furto d'identità è molto difficile da mettere in atto proprio grazie alla presenza di questa struttura.

Le rogne ci possono essere. So di gente che si è ritrovata con dei mutui accesi ma comunque se n'è uscita con uno bello spavento (e un po' di soldi, manco tanti, da dare all'avvocato). Non so se negli USA sarebbe stato altrettanto facile uscirsene da una situazione del genere.

I titolari dei dati rubati saranno preoccupati praticamente per sempre (i dati rubati potrebbero essere usati anche tra qualche anno) a meno di cambiare il proprio nome.

In Italia sarebbe bastato sostituire i documenti i cui dati fossero risultati rubati (carta d'identità, il passaporto per chi ce l'ha, la patente, carte di credito,ecc).

Fatto questo, il rischio di ritrovarsi con mutui accesi o proprietari di Yacht, Ferrari e attività poi fallite diventerebbe lo stesso di chiunque altro.

"Corigetemi" se mi sbaglio.
Semplicemente assurdo, forse c'è qualche talpa all'interno dell'azienda che ha accesso fisico alla struttura informatica, magari hanno dei gran firewall ma poca sicurezza interna... ovviamente sono solo speculazioni però certi dati fanno molta impressione visto che questi dovrebbero essere i colossi della sicurezza online...

L'altro giorno ho fatto un acquisto con PayPal (non una ditta di patatine) e oltre ai miei soliti indirizzi di spedizione (casa e lavoro) ne è comparso "magicamente" un altro in Ucraina! Con nome e cognome tra l'altro, ho chiesto basito delle spiegazioni e mi hanno raccomandato di cambiare password e domande di sicurezza...

Praticamente al giorno d'oggi la privacy e la sicurezza in rete sono solo un miraggio, aspettiamo con ansia le password cifrate dall'intelligenza artificiale... perché quella umana evidentemente non basta!
Ah ah ah! Sto già ridendo al pensiero di quando il CADI implementerà tutta una serie di novità sulla fatturazione elettronica. C'entra solo di striscio con la notizia, ma tutte queste violazioni di banche dati che dovrebbero essere inviolabili, fanno tremare i polsi.
Su Reddit commentavano che in caso di password persa, l'azione di recupero di Equifax è di mandare la password corrente in chiaro via mail ... ovvero la custodiscono in chiaro del database.

https://www.reddit.com/r/technology/comments/6yqmwo/three_equifax_managers_sold_stock_before_cyber/#dmpf5o5

http://nypost.com/2017/09/08/equifax-blames-giant-breach-on-vendor-software-flaw/

Secondo Equifax il punto di accesso da parte dei criminali sembrerebbe essere una falla su Apache Struts.

Le mie domande sono:
- Hanno avvertito la Apache Foundation di tale falla?
- Hanno aggiornato Struts all'ultima versione?

È stato come rubare nella caserma dei Carabinieri.

Who watches the watchmen?
Chi custodisce gli stessi custodi? (Giovenale)
La scelta del nome del sito è particolarmente infelice: assomiglia molto ad un sito di pishing. C'è Bitdefender che lo da come vero pishing e non come sospetto: https://trafficlight.bitdefender.com/info?url=https://www.equifaxsecurity2017.com/
Giusto per rincarare la dose, al punto che meriterebbero veramente una visita in sede da parte della bambina del #buondimotta :
==
----------------------------
(A). L'evidente ritardo di comunicazione / informativa pubblica rispetto a quella interna/riservata (5 settimane) risulta ulteriormente fastidioso, considerato come 3 figure dirigenti chiave abbiano proceduto nel frattempo alla vendita - non pianificata in anticipo - di loro azioni sul mercato... indicando ufficialmente di non esserne affatto al corrente...
.
"Chief Financial Officer and Corporate VP John Gamble, who sold $946,374 worth of shares; President of U.S. Information Solutions Joseph Loughran, who dumped $584,099; and President of Workforce Solutions Rodolfo Ploder, who sold $250,458 in shares"
.
D'altronde, non è peculiarità esclusivamente italica la favola difensiva del "Non c'ero, e - se c'ero - dormivo" da parte di alcuni Top Management = se/quando trovi qualcuno, che ci creda pure, è fatta.
.
----------------------------
(B). Le anomalie di risposta del sistema online di verifica dell'eventuale compromissione, presso il sito gestito da TrustedID (sussidiaria di Equifax) & raggiungibile (ved. enrollment) dal sito ufficiale dedicato da Equifax (che nel frattempo ha corretto perlomeno alcune anomalie, ved. certificati HTTPS e Whois) .
.
Oltre infatti al refuso di test/debug segnalato da Zack Whittaker su Twitter (e tutt'ora presente) per cui il sistema restituisce 'pawned' status per Test / 123456 , risultano segnalazioni di risposte positive per determinate stringhe numeriche, indipendentemente dal cognome indicato nel web-form di inserimento dei dati .
A me chrome dà "sicuro" il sito https://www.equifaxsecurity2017.com/
@Raw Main.
Mi domando se il comportamento dei dirigenti possa essere ricondotto ad una forma di insider trading... so che nella mia azienda quotata hanno "fatto un marone" che può rivelarsi estremamente dannoso e quindi far calare in maniera considerevole il valore delle azioni appena verrà scoperto: ergo sfrutto una informazione non nota al resto del mercato che può influenzare il valore delle azioni per fare soldi.
Se anche non si può considerare insider trading, è comunque un bell'esempio di attaccamento alla propria azienda, non c'è che dire...
Quindi abbiamo una società che si dovrebbe occupare di gestire in maniera sicura dati sensibili che si fa rubare anche le mutande da sotto i pantaloni e che ha figure apicali che, invece di preoccuparsi di riparare al danno, evitare il ripetersi e cercare di ripristinare una credibilità, si preoccupano solo del loro portafogli (azionario): un bel quadretto...