Luca Annunziata

Luca Annunziata

Giu 20, 2017

Numeri di telefono, indirizzi e dati sensibili di 198 milioni di votanti finiscono online

Per un banale errore, l'enorme database di un'azienda specializzata in analisi dell'orientamento politico dei cittadini statunitensi è stato liberamente accessibile in Rete

Un errore figlio della disattenzione o della scarsa confidenza con i rischi legati a tenere in cloud un database ripieno di dati sensibili: l’imponente archivio di Deep Root, società USA che si occupa di raccogliere informazioni sui votanti per vendere analisi sugli orientamenti politici a chi conduce campagne o agli investitori pubblicitari, è finito in Rete privo di qualsiasi protezione. Le informazioni sensibili su 198 milioni di votanti, facilmente identificabili vista la mole di dettagli disponibili, sono state accessibili da chiunque per non meno di un paio di settimane.

La scoperta del leak

A “trovarle” è stato uno dei dipendenti di UpGuard, società che opera una sorta di pattugliamento costante di Internet anche con lo scopo di individuare questo tipo di problematiche e porvi rapidamente rimedio: il ricercatore Chris Vickery ha scovato un database dalla cospicua mole di 1,1 terabyte, archiviato senza protezione apparente su uno storage remoto Amazon S3, lo scorso 12 giugno. Una volta appurata la mole e la natura dei dati in esso contenuto non ha esitato ad avvisare Deep Root di quanto da lui scoperto, e ha anche avvisato le autorità competenti di quanto successo.

Sono in particolare due archivi contenuti in questa imponente mole di informazioni a preoccupare di più per la loro natura: il primo dalle dimensioni di 256GB relativo alle elezioni presidenziali del 2008, il secondo da 233GB inerente la tornata del 2012, contenenti in chiaro informazioni su nomi, indirizzi, date di nascita, numeri di telefono, orientamenti politici e persino l’etnia di 198 milioni di votanti USA (su un totale approssimativo di 200 milioni di aventi diritto, circa il 60 per cento della popolazione). Sono frutto di una complessa operazione di data-mining, svolta incrociando informazioni ottenute in Rete, per esempio da post pubblici sui social, con altre informazioni altrettanto pubbliche ottenute da istituzioni addette alla registrazione dei votanti.

I rischi

Il problema è doppio: innanzi tutto perché una pratica tutto sommato banale come quella di tenere una copia del proprio database online, su uno storage remoto, è stata sottovalutata nella sua pericolosità. Non c’è niente di strano o di problematico nel tenere i dati, anche per ragioni di backup, in Rete: è anzi una misura ragionevole, purché ci si preoccupi di proteggere i dati con una robusta cifratura che impedisca a chiunque ne entri in possesso senza autorizzazione di potervi accedere. In secondo luogo aver incrociato i dati anagrafici con gli orientamenti politici, e avendo posto tutto in un database ora a disposizione di chiunque, costituisce un serio problema per quanto attiene la privacy dei cittadini interessati.

Secondo UpGuard si tratta del peggior incidente (in gergo si parla di “leak”) di questo tipo nella storia: viene citato un caso analogo precedente che aveva rivelato dati sensibili per oltre 90 milioni di cittadini messicani, ma è evidente che in questo caso la situazione è peggiore a causa della presenza anche di informazioni specifiche sugli orientamenti politici dei soggetti analizzati da Data Root. Quest’ultima si è assunta piena responsabilità per l’accaduto, e ha avviato un’indagine interna per accertare come si siano svolti i fatti.