Anche le menti sopraffine di chi lavora con la tecnologia possono sbagliare: per almeno un mese il sito dell’Institute of Electrical and Electronics Engineers (IEEE), un’associazione internazionale devota alla promozione delle scienze tecnologiche, ha esposto al rischio di un’invasione di privacy i dati di 100mila utenti, molti dei quali addetti ai lavori del mondo ICT.

La mappa europea dei log coinvolti, pubblicata da Dragusin

Secondo quanto scoperto da Radu Dragusin, un informatico e docente dell’Università di Copenhagen, i server dell’IEEE hanno conservato username e password di circa 100miila utenti per un periodo di almeno 30 giorni, pubblicamente accessibili e visibili senza crittografia sull'Ftp dell'associazione. La falla ha reso potenzialmente spiabili tutte le azioni e attività svolte sui siti www.ieee.org e spectrum.ieee.org da chi effettuava il log in: ovvero, fra gli altri, di dipendenti di società come Apple, Google, IBM, Oracle e Samsung, nonché di università quali quella di Stanford e della Nasa.

La notizia è trapelata oggi proprio dal blog di Dragusin, ma il computer engineer già la settimana scorsa aveva notificato il problema ai tecnici di IEEE, i quali avrebbero “almeno parzialmente” risolto la questione. Interpellata da Cnet, l’associazione ha risposto con una dichiarazione scritta: “Siamo venuti a conoscenza di un incidente non intenzionale, riguardante l’accesso a log file contenenti username e password. Dopo un’approfondita investigazione, il problema è stato identificato e risolto”.

“In questo momento – prosegue la nota – stiamo contattando gli interessati per informarli che potrebbero essere stati coinvolti. La IEEE si preoccupa seriamente di salvaguardare le informazioni riservate dei nostri membri e clienti. Ci scusiamo per l’incidente e per gli eventuali inconvenienti che può aver causato”.

Sul suo blog, Dragusin ha sottolineato che “i log dei Web server non dovrebbero mai esser pubblicamente accessibili, dal momento che contengono solitamente informazioni che possono essere sfruttate per identificare gli utenti. Il caso specifico è decisamente più grave, dal momento che 411.308 log contenevano sia username, sia password. Tra questi, sembrano esserci 99.979 unique username”.

Le critiche alle imprudenze commesse dalla IEEE (o dai suoi tecnici) sono esplicite: “Se lasciare aperte all’accesso pubblico una directory Ftp contenente 100 GB di log può essere un semplice errore nelle impostazioni di accesso, tenere in chiaro sia le username, sia le password è ben più preoccupante. Crittografare le password con una funzione hash è la soluzione migliore, perché mitiga le conseguenze di un errore di accesso di questo tipo. Conservare le parole chiave nei log, specie se non crittografate, è inoltre intrinsecamente rischioso, poiché qualsiasi dipendente in grado di entrare nei log potrebbe costituire una minaccia per la privacy degli utenti”.