Oltre 100 mila documenti esposti, con scansione fronte-retro di 50 mila patenti di guida di altrettanti inconsapevoli interessati australiani per un errore di configurazione del bucket Amazon S3, insieme alle ricevute di pedaggi autostradali degli ultimi due anni. Questo è quanto accaduto nel Nuovo Galles del Sud, sebbene si stia tutt’ora investigando sulla fonte dell’upload e l’agenzia governativa Roads and Maritime Services abbia escluso il coinvolgimento dei propri sistemi nella vicenda.
Quanto accaduto, però, si pone sulla scia di altri incidenti di sicurezza precedentemente occorsi sempre nel settore dei trasporti all’interno dello stato australiano del Nuovo Galles del Sud: a maggio 2020, erano stati infatti compromessi 47 account di un’agenzia governativa (Service NSW) e a giugno 2020 i sistemi di un’altra agenzia (Transport for NSW) avevano subito un’interruzione che secondo alcuni analisti poteva essere ricondotta ad un attacco mirato.
Dal momento che i dati personali che sono stati esposti con il recente data leak riguardano, oltre le patenti di guida, anche indirizzi, date di nascita e numeri di telefono degli interessati, da cui potrebbe essere possibile realizzare dei furti di identità, accedere ad ulteriori informazioni ricorrendo ad altri database violati o esposti e perpetrare così frodi anche nei confronti di soggetti terzi. Infatti, il documento della patente di guida è spesso utilizzato per verificare le identità e dunque può essere già di per sé estremamente appetibile per un impiego illecito da parte di malintenzionati per aprire account “verificati” su varie piattaforme, svolgendo operazioni per conto di inconsapevoli interessasti.
L’incidente impone di riconsiderare le molte prassi diffuse fra gli operatori del settore dei trasporti, che legittimamente chiedono informazioni relative alla documentazione di guida e la copia della patente, ma che forse non hanno affrontato una corretta valutazione della sicurezza dei propri sistemi e un’analisi dei rischi delle attività di raccolta, trasmissione e conservazione dei dati.
Alcuni esempi. Sono state correttamente considerate le implicazioni di sicurezza sottostanti la raccolta sistematica di tali dati? Sono stati definiti i tempi di conservazione, al fine di evitare un’esposizione eccessiva dei dati personali così raccolti? E soprattutto: sono state considerate alternative alla raccolta di una copia scansionata del documento di guida, quali ad esempio la registrazione delle informazioni contenute al suo interno (es. numero patente, data di emissione, scadenza etc.)?
