Possono gli informatici che lavorano niente meno che per soggetti legati al governo statunitense, in particolare per l'Nsa e per lo Us Army, compiere errori banali, mettendo a rischio non solo la privacy dei cittadini ma anche la sicurezza nazionale? Probabilmente sì, se archivi di dati posizionati sul cloud sono rimasti per chissà quanto tempo alla mercé di occhi indiscreti, nonostante contenessero anche materiale classificato come “sensibili” e “top secret”. Se ne è accorto Chris Vickery, un esperto di cybersicurezza al servizio di Upguard e già autore di precedenti segnalazioni su vulnerabilità dei sistemi informatici del Dipartimento della Difesa, di Accenture e di altri ancora.

La scoperta risale al 27 settembre, ma solo ora Upguard ha deciso di raccontarla, dopo aver presumilbmente allertato i diretti interessati. Servendosi semplicemente di un browser Web e di molta esperienza, Vickery ha trovato in Rete un bucket di Amazon Web Services S3 appartente a Inscom (Intelligence and Security Command) l'agenzia di intelligence a chi fanno riferimento sia l'Nsa sia l'esercito. Il suo nome era citato nel sottodominio del bucket.

Sorprendentemente, l'accesso a questo contenitore di dati da 100 gigabyte risultava configurato come “pubblico”. Il bucket conteneva 47 tra cartelle e file, liberamente accessibili, e per tre di questi elementi era possibile eseguire il download. Come se non bastasse, da alcune configurazioni tecniche è emerso che alcuni file erano da considerarsi classificati come “noforn” (un'etichetta che le agenzie di intelligence applicano alle informazioni sensibili e non condivisibili con governi stranieri), mentre altri erano marchiati come “top secret”. Attraverso alcuni metadati, invece, si è dedotto che in precedenza questo materiale era passato tra le mani di Invertix, un partner tecnologico di Inscom.

 

 

È dunque possibile che un amministratore di sistema di questa società abbia commesso un errore di configurazione, impostando il bucket di Aws come “pubblico”. Un errore molto grave, che “avrebbe potuto generare un danno non calcolabile o distruggere alcune tra le più importanti operazioni di intelligence del nostro Paese”, ha dichiarato Vickery. La sua domanda retorica resta sospesa: “Se anche le nostre più prestigiose istituzioni non sono in grado di proteggere i dati sensibili, che cosa dovremmo aspettarci dalle aziende e dagli enti pubblici?”.

A dire il vero, l'aura di prestigio intorno all'Nsa è evaporata da tempo, non solo in seguito alle rivelazioni di Edward Snowden e a considerazioni di etica e privacy, ma anche grazie all'opera degli Shadow Brokers. E se può stupire che errori di configurazione apparentemente banali capitino a realtà strutturate, grandi e abituate a gestire dati sensibili, basti ricordare il recente caso di Equifax e dei 145 milioni di cittadini esposti al rischio di truffe e furti di identità.