DIETRO LO SCHERMO – Fino a poco tempo fa, per mettere le mani su un database di queste dimensioni servivano conoscenze tecniche specifiche, l’accesso a marketplace esclusivi nel Dark Web e, spesso, un pagamento in criptovalute. Oggi, invece, sembra che la nostra privacy valga meno di zero. Letteralmente.

Da qualche giorno, un archivio contenente i dati personali di 3,8 milioni di cittadini italiani vaga liberamente per la rete, disponibile gratuitamente. Non serve essere hacker per ottenerlo: basta un click su un link di file sharing pubblico.

Il “regalo” di Cetegus

L’allarme è scattato su DarkForums, una delle tante piazze virtuali dove si discute di hacking e sicurezza informatica. È qui che un utente, noto con lo pseudonimo di Cetegus, ha deciso di condividere quello che ha battezzato “Italian Consumers 3.8m”.

La novità inquietante non è tanto l’esistenza del database, quanto la modalità di diffusione. Cetegus non ha chiesto soldi. Non ha messo password. Ha semplicemente caricato svariati gigabyte di dati compressi su un servizio di hosting accessibile a chiunque, senza bisogno di registrazione. È come se qualcuno avesse lasciato un enorme schedario con le schede di quasi 4 milioni di italiani su una panchina al parco, alla mercé del primo passante.

Cosa c’è dentro (e perché dovremmo preoccuparci)

A una prima occhiata superficiale, qualcuno potrebbe tirare un sospiro di sollievo: nell’archivio non sembrano esserci dati bancari, numeri di carte di credito o informazioni sanitarie. Ma abbassare la guardia sarebbe un errore fatale.

Il database è una miniera d’oro di quelle che vengono definite PII (Personally Identifiable Information). Per ogni record, il file offre un identikit digitale preciso:

• Indirizzo email

• Data di nascita

• Sesso

• Comune di residenza

• Città e provincia di nascita

In pratica, ci sono tutti gli ingredienti necessari per costruire un profilo credibile di una persona. I dati sono ordinati, strutturati in tabelle pulite, pronti per essere usati. Non c’è cifratura, nessuna protezione: è tutto in chiaro.

Il rischio invisibile: il Phishing di precisione

Perché questi dati sono pericolosi se non ci sono le carte di credito? Perché permettono ai criminali informatici di fare il “salto di qualità”.

Immaginate di ricevere una mail truffa. Se è generica (“Caro Utente”), la cestinate. Ma se quella mail vi chiama per nome, cita la vostra città di residenza e vi fa gli auguri perché sa che tra poco è il vostro compleanno, la vostra soglia di attenzione si abbassa.

Con questo database, i truffatori non devono più “sparare nel mucchio”. Possono creare campagne di phishing mirato (spear-phishing) estremamente convincenti. Possono incrociare questi dati con altri leak precedenti per tentare di indovinare password o rispondere alle domande di sicurezza dei vari servizi online.

Siamo tutti vulnerabili

L’archivio riguarda prevalentemente individui adulti residenti in Italia. Che si tratti di un furto a un’azienda di marketing, a un gestore di servizi o un aggregatore di dati, il risultato non cambia: 3,8 milioni di italiani sono oggi un po’ più esposti di ieri. E la facilità con cui questi dati sono stati resi pubblici è il segnale che, nel sottobosco del web, le nostre identità sono considerate ormai merce di scarto, da regalare per guadagnare un po’ di reputazione su un forum.