immagine-preview

Apr 24, 2018

Dopo Cambridge Analytica altri 48 milioni di dati rastrellati da un’agenzia di intelligence privata

Mentre ci si interroga sulle responsabilità di Facebook nel caso Cambridge Analytica un nuovo caso allarma gli esperti di privacy e sicurezza

Gli esperti dell’azienda di sicurezza Upguard hanno scoperto un immenso archivio di dati che sarebbe stato lasciato esposto online dall’agenzia di intelligence privata LocalBlox. L’archivio, secondo quanto riportato, conterrebbe 48 milioni di record di ignari utenti che sarebbero stati rastrellati dai principali social network come Facebook, LinkedIn e Twitter. L’archivio sarebbe stato lasciato su uno storage Amazon AWS (bucket) accessibile da chiunque online.

“Il team Cyber ​​Risk di UpGuard può ora confermare che si tratta di un archivio su cloud storage contenente informazioni appartenenti all’azienda LocalBlox, che è stato reso pubblicamente accessibile, esponendo 48 milioni di record di informazioni personali dettagliate su decine di milioni di individui, raccolti e raschiato da più fonti” si legge nel post pubblicato da UpGuard.

Che cosa conteneva l’archivio

Il bucket AWS S3 è stato scoperto il 18 febbraio dall’esperto Chris Vickery, direttore della ricerca sui rischi informatici presso UpGuard, l’archivio era stato esposto su un sottodominio chiamato “lbdumps”.

Lo storage Amazon conteneva un singolo file compresso di 151,3 GB dal nome “final_people_data_2017_5_26_48m.json,” che, una volta decompresso, rivelava un file 1.2TB in formato ndjson.

 

 

L’analisi dei metadati all’interno dell’intestazione del file ha consentito ai ricercatori di attribuire lo stesso all’agenzia di intelligence privata LocalBlox.

I record includono nomi, indirizzi fisici, date di nascita raccolti dai social media. 

Il primo pensiero è al recente caso di Cambridge Analytica, come abbiamo più volte sottolineato molte aziende operano violando le politiche di privacy e sicurezza dei social media rastrellando enormi volumi di dati per differenti finalità.

“Il set di dati LocalBlox esposto combina le informazioni personali standard come nome e indirizzo, con i dati sull’utilizzo di Internet della persona, come le loro storie di LinkedIn e i feed di Twitter”. Continua il post sul blog.

I dati trapelati sarebbero stati raccolti da più fonti e aggregati per indirizzi IP. Risultano ad esempio, nomi, indirizzi stradali, date di nascita, informazioni sul lavoro degli individui che sarebbero sono stati raccolti da LinkedIn, Facebook, Twitter e correlati con dati immobiliari di Zillow.

Altre fonti di dati utilizzate dall’azienda di intelligence privata sarebbero archivi acquistati da altri operatori specializzati nella concessione di prestiti.

Questo ritrovamento è la dimostrazione che molte altre entità analizzano i social media per raccogliere dati degli ignari utenti, quindi lecito chiedersi cosa fanno i gestori delle piattaforme per impedire ogni abuso dei loro servizi e come sia possibile che tutto ciò accada.

“La presenza di dati raschiati da siti di social media come Facebook evidenzia anche un fatto importante: troppo spesso, i dati detenuti da siti web ampiamente utilizzati possono essere presi di mira da terze parti sconosciute che cercano di monetizzare queste informazioni”. Sostiene Upguard.

Questo caso è sconcertante per due motivi, innanzitutto la società ha raccolto i dati degli utenti dai social network senza che questi siano stati in grado di rilevare l’abuso dei propri servizi, in secondo luogo la stessa agenzia privata ha fallito nel mettere al sicuro le informazioni raccolte lasciandole esposte online.

Come è possibile collezionare così tanti dati dai social media senza che i gestori delle piattaforme se ne accorgano?

 

Mentre in molti ritengono che le piattaforme abbiano chiuso un occhio dinnanzi ai differenti abusi pur disponendo delle tecnologie per la loro individuazione, nei giorni scorsi abbiamo appreso di falle che avrebbero consentito queste raccolte massive.

Il rastrellamento dei dati dai social è una pratica comune e stiamo scoprendo solo la punta dell’iceberg, molte aziende e agenzie di intelligence come detto lo fanno per diversi motivi.

A volte questa attività è avvantaggiata da difetti di sicurezza nelle funzionalità implementate dalle piattaforme di social media.

All’inizio di aprile, Mark Zuckerberg ha ammesso che i dati pubblici dei suoi 2,2 miliardi di utenti sono stati compromessi nel corso di diversi anni da attori di terze parti che hanno raccolto informazioni sui propri utenti. Gli scraper (rastrellatori) di terze parti hanno sfruttato un problema nella funzione di ricerca di Facebook che consentiva a chiunque di cercare gli utenti tramite il loro indirizzo email o numeri di telefono.

Come ti copio i dati in modo automatico da LinkedIn

La scorsa settimana, il ricercatore Jack Cable (18) ha scoperto una vulnerabilità nella funzionalità di Compilazione automatica di LinkedIn che avrebbe consentito la raccolta dei dati degli utenti.

La funzionalità “Compilazione automatica” consente di compilare rapidamente moduli con i dati del proprio profilo LinkedIn, tra cui nome, titolo, azienda, indirizzo e-mail, numero di telefono, città, codice postale, stato e paese.

Cable ha sottolineato che con questo trucco è possibile accedere anche a dati non pubblici dei profili, l’esperto ha realizzato un sito web che una volta visitato da un utente era in grado di collezionare i dati dal suo profilo.

Ancora più preoccupante è il fatto che la falla pare abbia consentito di raccogliere anche dati non pubblici presenti nel profilo, contrariamente a quanto dichiarato da LinkedIn.

Sebbene LinkedIn abbia prontamente risolto il problema, non possiamo escludere la presenza di altre vulnerabilità che possano consentire a malintenzionati di collezionate in maniera furtiva le informazioni degli utenti.

È quindi fondamentale adottare nuovi sistemi per l’individuazione di abusi e aprire le piattaforme sociali ai programmi di bug bounty per scoprire nuove falle potenzialmente pericolose per la privacy degli utenti.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter