Il quotidiano francese Le Figaro, a causa di un errore nella configurazione di hosting del server ha esposto circa 7,4 miliardi di dati riguardanti gli accessi al sito effettuati da parte dei lettori negli ultimi tre mesi. Dall’analisi degli esperti, risultano essere stati compromessi circa 8Tb di dati nel periodo da febbraio ad aprile 2020 e la fonte dell’errore sembra riconducibile al comportamento umano, per cui non si era provveduto a proteggere i dati in hosting con password né con cifratura. Il database è risultato infatti accessibile e liberamente consultabile, con la possibilità di ricercare ad esempio le informazioni personali di circa 42.000 utenti registrati, fra cui anche le credenziali di accesso al sito e altri dati identificativi fra cui indirizzo e-mail, nome, indirizzo di residenza, password per le nuove utenze, indirizzo IP, token di autenticazione al server interno. Sono stati riscontrati essere oggetto di compromissione anche i dati di contatto di dipendenti e giornalisti (indirizzo e-mail e nome completo), nonché i file di log da cui è stato possibile individuare server backend ed ulteriori informazioni, con potenziali conseguenze critiche per la sicurezza dell’infrastruttura.
L’accaduto conferma l’importanza dei controlli di sicurezza nella gestione di hosting dei database, sia alla luce della normativa in materia di protezione dei dati personali che delle best practices di cybersecurity.
L’esposizione del database relativo agli utenti produce infatti nei confronti degli utenti il rischio di subire conseguenze pregiudizievoli derivanti da un impiego illecito dei propri dati personali, rendendoli potenziali vittime di frodi, furti di identità o di subire attacchi informatici. È opportuno ricordare infatti che anche i dati comuni (quali sono quelli di registrazione) possono produrre rilevanti impatti negativi nei confronti degli utenti e dei visitatori del sito. Ad esempio, le credenziali di accesso al sito online di Le Figaro possono essere utilizzate dai cybercriminali per effettuare attacchi brute force alle singole e-mail degli utenti o ai relativi servizi cloud collegati, soprattutto se combinate con altri dati reperibili online. L’eventualità tutt’altro che remota è inoltre che gli indirizzi e-mail possano essere impiegati per progettare future campagne fraudolente di phishing o per veicolare contenuti malevoli, utilizzando il layout grafico contraffatto di Le Figaro per indurre le potenziali vittime a cadere a ritenere attendibile e genuina la falsa comunicazione.
Ovviamente il problema di sicurezza si estende anche ai sistemi di Le Figaro, dal momento che i dati di log di sistema possono essere oggetto di studio e utilizzati in futuro per trovare vulnerabilità e di conseguenza esporre a nuovi rischi tanto la società quanto gli utenti e i visitatori. Inoltre, i dati di contatto dei dipendenti possono essere reimpiegati per essere un ulteriore vettore per un attacco nei confronti dell’azienda.
