Una miniera d'oro per gli spammer, i truffatori cybernetici e i ladri di identità: un archivio contenente dati personali, indirizzi e informazioni di vario tipo su 123 milioni di famiglie statunitensi (quasi l'intera cittadinanza a stelle e strisce), rimasto visibile a occhi indiscreti per errore di una società di marketing analytics. Operativa fin dal 2010 e domiciliata in California, si chiama Alteryx il colpevole individuato dai ricercatori di UpGuard, che solo ieri – terminate le dovute verifiche e notifiche ai diretti interessati – hanno potuto comunicare pubblicamente l'avvenuto data leak.
La scoperta risale a inizio ottobre e non è la prima di questo genere per UpGuard: basti ricordare l'opera di un suo ricercatore, cui si deve la denuncia di un madornale errore di chi gestiva archivi di dati sensibili dell'Nsa e dell'esercito Usa, o precedenti segnalazioni su rischi delle reti informatiche governative.
Questa volta, come si diceva, a sbagliare è stata una società che raccoglie, analizza e rivende dati, Alteryx, ed è particolarmente grave il fatto che i database rimasti esposti attraverso il cloud contengano materiale di Experian, una fra le maggiori agenzie di reporting del merito creditizio, proprietaria di informazioni su più di 230 milioni di cittadini Usa. La restante parte dell'archivio è composta invece da statistiche e altre informazioni dell'ufficio del censimento degli Stati Uniti. Il tutto era stato affidato a un bucket di Amazon Web Services S3, che risultava imprudentemente configurato come aperto, cioè accessibile da chiunque possieda un account Aws.
Come spiegato da UpGuard, “Mentre i dati del Census consistono interamente in statistiche e informazioni già pubblicamente accessibili, il database di marketing ConsumerView di Experian, un prodotto che viene venduto ad altre società, contiene un insieme di dati pubblici e di altri più sensibili. Sommate fra loro, queste informazioni rivelano miliardi di dettagli di persone identificabili e dati riguardanti potenzialmente ciascuna famiglia americana”.
Il repository rimasto pubblicamente esposto non contiene nessun nome e cognome, ma in compenso vi sono racchiuse ben 248 categorie di dati, in buona parte utili per risalire all'identità delle persone. Fra le altre cose, vi compaiono dettagli anagrafici, indicazioni di titoli di studio e professioni, indirizzi fisici, numeri di telefono, composizione della famiglia, profili creditizi (inclusi mutui e finanziamenti rischiesti negli anni), profili di comportamento e acquisti online: è quello che Upguard definisce “uno sguardo particolarmente invadente nella vita dei consumatori americani”.
D'altra parte la stessa Experian, non senza vanto, definisce il suo ConsumerView come "il più vasto database sui consumatori al mondo". A detta dei ricercatori di sicurezza, eventuali malintenzionati che abbiano messo gli occhi su questo patrimonio informativo potrebbero lanciare operazioni di spam, ma anche realizzare furti di identità e truffe.