L’onnipresenza dei nostri dati online, contemporaneamente in più server, ha avuto conseguenze spiacevoli e sta dando origine a una problematica finora abbastanza sottovalutata: sta nascendo il fenomeno del fake data breach.
Lo scorso luglio era stata la notizia d’apertura di moltissimi quotidiani: un noto istituto di credito italiano – fresco di debutto in borsa – era stato accostato a una lunga serie (oltre 20mila) di nominativi e codici fiscali postati sul noto sito Pastebin.
Questo aveva immediatamente scatenato il panico: si erano susseguiti comunicati ufficiali da parte dell’istituto interessato, smentite e analisi frettolose della situazione. La conseguenza? Un duro colpo in borsa nei giorni seguenti che non può aver fatto altro che generare forti malumori ai vertici.
Il problema di fondo in quel momento, però, era stato un altro: come si possono attribuire degli elenchi generici di nominativi ad una singola azienda, soprattutto quando non c’è alcuna evidenza certa?
I nostri dati sono ovunque e le probabilità che la stessa anagrafica sia presente su più siti rende vulnerabile a ricatti e minacce ogni singola azienda che ha in possesso quei dati, senza che ci sia effettivamente stato un cyber crimine.
Indice degli argomenti
Fake data breach: i database diventano armi
Il caso dello scorso luglio è solo la punta dell’iceberg di quella che potrebbe essere la prima ondata di una nuova e perversa metodologia di manipolazione del dato, una metodologia che, a differenza del classico attacco di criminal hacker, abbassa notevolmente l’asticella di difficoltà e skill necessarie.
Se Mario Rossi è cliente di una banca, titolare di un account PayPal o di vari abbonamenti a siti di streaming come Netflix o anche semplicemente iscritto ad una newsletter e si vede pubblicati i suoi dati personali in chiaro sulla rete, come fa a risalire all’origine della perdita?
Semplicemente non lo può fare, ma se si diffonde la voce che uno dei provider di servizi di cui lui è cliente è stato accostato a un data breach, anche senza evidenze certe o anche circostanziali, sappiamo bene a chi verrà addossata la colpa.
Le possibilità per attori malintenzionati di sfruttare questa incertezza di attribuzione sono alte e soprattutto sono svariate per metodologie e scopi.
Le possibili conseguenze di un fake data breach
La prima, e forse più perversamente logica, applicazione che si potrebbe palesare è quella dell’utilizzo dei dati per fare insider trading.
Come abbiamo visto nel caso di luglio dell’istituto bancario, la sola menzione di “fuga di dati” negli organi di stampa è bastata per far cadere a picco il titolo dell’organizzazione coinvolta nello scandalo: un’occasione ghiotta per chi si vuole cimentare in questo tipo di reato, a cui basterebbe far filtrare la voce che i dati venuti alla luce appartengono alla propria compagnia per causarne (ovviamente nel caso questa sia quotata in borsa) il tracollo del valore azionario.
Non va neppure esclusa la possibilità che questo metodo diventi il driver di quella che dall’altra parte della manica chiamano la “Smear Campaign”. Un’azienda rivale che sceglie di sfruttare questo “gap di autorevolezza” può infliggere sostanziali danni non solo puramente economici ma anche in termini di brand reputation.
Non è necessario ricordare in dettaglio i “colpi” che hanno ricevuto società come Facebook, vittima (o complice) di un data leak nel caso Cambridge Analytica, o i più recenti casi di Capital One e Marriott Hotel.
E le possibilità non si fermano qui. Il dato, oggi, è considerato uno dei beni primari che muovono la rete “above board” e nel Dark Web.
Certamente uno dei maggiori detentori di informazioni, per loro natura, sono i governi, coinvolti in molti casi anche in partecipazioni all’interno di aziende, appunto a controllo statale.
Qui la mission sarebbe duplice per i diffusori del fake data breach: colpire l’azienda e di fatto l’economia del Paese “avversario”, al contempo destabilizzandone il governo andando a intaccare la fiducia della popolazione dello stato vittima nell’abilità dei propri governanti di difendere gli interessi nazionali e la privacy dei suoi cittadini.
Ultima, e non per questo meno pericolosa, criticità potrebbe essere la suscettibilità delle organizzazioni al ricatto da parte di attori malintenzionati.
Riprendendo quanto detto in apertura, è oggi molto facile trovare dati personali ridondanti su più e svariati database. Con in mano queste informazioni, un Blackmailer – perché sarebbe sbagliato parlare di criminal hacker visto il bassissimo livello di skill richieste per questo tipo di attività – potrebbe semplicemente entrare in contatto con le organizzazioni facendo un semplice calcolo di probabilità e tenerle sotto scacco minacciando di diffondere l’informazione.
La situazione oggi
Queste possibili modalità di attacco aprono anche un altro filone di criticità, in un certo senso più “alto”, ovvero la difficoltà oggettiva nel combattere questo tipo di problematica.
È sicuramente una nuova sfida che coinvolge si gli organi statali, che comunque con il GDPR hanno fatto passi da gigante nella tutela del consumatore, ma anche gli organi di stampa.
Il tempo di Facebook, LinkedIn, Twitter, Reddit… chi più ne ha più ne metta, ha solo amplificato i riflessi nello “stagno” delle notizie. La diffusione di informazioni non verificate e sensibili senza la certezza del fatto potrebbe avere effetti catastrofici.
Sicuramente, come accennato, in tema di protezione del dato sono stati fatti passi da gigante. Adesso bisogna solo avere la giusta consapevolezza di quella che potrebbe essere l’ultima evoluzione del cyber crimine e delle sue modalità e prepararsi di conseguenza su tutti i fronti.
