Lo scudo del GDPR è stato contestato, amato, osservato, imitato ma cosa accade fuori da “casa nostra”. Cerchiamo di fare un quadro di alcune delle situazioni più rilevanti.
Questa rapida occhiata al mondo extra-UE ha lo scopo di presentarvi casistiche comuni ma molto gravi. Molte delle quali identificate dal lavoro di ricercatori indipendenti che, non avendo un canale migliore, denunciano il fatto su Twitter o altri canali social.
Filippine (Aprile 2021)
345.000 file con dati particolari (i dati sensibili) sarebbero stati trafugati dall’ufficio del procuratore generale delle Filippine. Nei file ci sarebbero informazioni importanti circa casi aperti e situazioni legali molto delicate in merito ai reati di stupro, al traffico minorile, alle esecuzioni e alle attività di intelligence e a molto altro.
Stati Uniti (Aprile 2021)
Oltre 200.000 dati sanitari appartenenti ai veterani sono stati resi pubblici con informazioni in merito a pazienti, medici, dipendenti, dati particolari. Dati che certamente non sarebbero dovuti essere divulgati e che probabilmente erano legati ad una richiesta di riscatto richiesta mediante ransomware al costo di 8.148 dollari.
Sud Africa (Aprile 2021)
L’esperto di sicurezza Bill Demirkapi ha trovato una falla di sicurezza nell’istituto di credito Experian che avrebbe esposto oltre 1.280.000 account e provocando una pesante indignazione nella community della sicurezza informatica ed in particolare della Gurcul, compagnia di servizi di cybersecurity. Il vettore dell’attacco sarebbero state alcune API non sicure esposte dalla Experian per l’interazione con i suoi servizi. Da quanto rilevato il codice con cui erano state scritte le API era approssimativo e non sicuro.
India (Aprile 2021)
La piattaforma di investimenti Moneycontrol ha subito un data breach che ha colpito oltre 760.000 utenti. La notizia è stata riportata da Sourajeet Majumdar, un ricercatore indiano che ha mostrato anche uno screen di quanto sarebbe in possesso degli hacker. Il ricercatore ha avuto un dialogo su telegram con gli hacker, valutate voi.
Possiamo anche parlare dell’impatto che il data breach del sistema SITA ha avuto su Air India, con il coinvolgimento di 4.5 milioni di account in mano agli hacker.
Taiwan (2013 con esposizione nel maggio 2021)
Nel giugno del 2013 la piattaforma Yam.com è stata oggetto di un data breach i cui esiti sono stati pubblicati in un forum nel 2021. Il breach mostrerebbe oltre 13.000.000 di account email unici oltre che username, numeri di telefono, indirizzi, date di nascita e hash MD5 per le password.
Brasile (Marzo 2021)
L’azienda Descomplica, che si occupa di formazione, è stata oggetto di un data breach che ha esposto circa 5.000.000 di account email, indirizzi, nomi e parte dei numeri delle carte di credito usate per i pagamenti (in particolare i primi 6 numeri e gli ultimi 4).
Conclusioni
Si potrebbe parlare di molti altri casi che giornalmente affollano gli strumenti dei ricercatori di sicurezza informatica ma lo scopo dell’articolo è dare una veloce dimostrazione di ciò che accade all’esterno del perimetro GDPR. Per quanto il Regolamento Europeo possa essere imperfetto è comunque uno strumento di difesa che cerca di porre una forte mitigazione a fenomeni che colpiscono ogni paese del mondo.
Riferimenti utili
- Il caso delle Filippine e del procuratore generale: https://www.zdnet.com/article/turgensec-finds-345000-files-from-filipino-solicitor-generals-office-were-breached/
- Il caso dei veterani degli Stati Uniti: https://securethoughts.com/us-military-veterans-medical-data-leakage/
- Il caso Experian: https://threatpost.com/experian-api-leaks-american-credit-scores/165731/
- Il caso Moneycontrol: https://www.opindia.com/2021/04/personal-details-of-over-seven-lakh-moneycontrol-users-up-for-sale/
- Il caso AirIndia: https://www.infosecurity-magazine.com/news/air-india-supplier-breach-45/
- Il caso Yam.com: https://haveibeenpwned.com/PwnedWebsites#Yam
- Il caso Descomplica: https://atendimento.descomplica.com.br/hc/pt-br/articles/1500003993042-FAQ-Ataque-cibernético-14-03