California, terra del megacrack

Qualcuno ha potuto accedere ad un database riservato contenente informazioni su 1,4 milioni di cittadini americani. Dati che ora potrebbero portare a molte frodi finanziarie

San Francisco (USA) - Un'azione di cracking di queste dimensioni e gravità ancora non si era registrata in California, dove è emerso che un ignoto smanettone è penetrato nei sistemi dell'Università di Berkeley ed ha avuto accesso ad un database con dati su 1,4 milioni di californiani.

I dati che potrebbero essere stati copiati dagli autori dell'aggressione informatica comprendono nomi e cognomi, indirizzi di residenza, numeri di telefono, date di nascita e numeri della social security. Sono dati importanti che erano stati immessi in quel database a partire dal 2001, quando la Health and Human Services Agency californiana aveva avviato un programma per l'assistenza agli anziani: i dati sono quelli di lavoratori che ricevono un piccolo compenso per le ore di assistenza domiciliare fornita in California. Il cracking è avvenuto all'Università perché, con obbligo di riservatezza, gli studiosi dell'ateneo avevano ottenuto il permesso di lavorare su un progetto di ricerca legato a quelle informazioni. Permesso ora revocato.

Il timore delle autorità è che quanto accaduto possa compromettere non solo la privacy dei soggetti coinvolti ma soprattutto consentire a chi è ora in possesso di quei dati, di organizzare frodi finanziarie. Anche per questo la Agency californiana ha diramato una nota di avvertimento a tutti coloro che sono iscritti nel database affinché controllino con attenzione nei prossimi mesi i loro movimenti finanziari, perché attraverso il furto di identità che quelle informazioni possono consentire sono molte le "sorpresine" che potrebbero verificarsi...
In realtà l'agenzia americana non sa se di quei dati sia stata fatta copia. "Non sappiamo - hanno spiegato i responsabili - se all'informazione vi sia stato accesso oppure no. Ma dato che si tratta di dati sensibili abbiamo pensato che la cosa migliore era dirlo alle persone coinvolte affinché possano prendere misure preventive". In realtà, una legge in California da qualche anno costringe, in casi del genere, a rendere pubblica la notizia di una intrusione informatica, una garanzia di trasparenza che rappresenta una tutela in più per i cittadini, sebbene sia per ora adottata soltanto in alcuni stati federali degli USA.

Sul megacracking californiano sta indagando naturalmente il reparto cyber dell'FBI che ha però fin qui rifiutato di rilasciare qualsiasi commento in merito.

E sul furto di identità (vedi anche: Furto d'identità, la Ue segue gli Usa di Gerardo Costabile) proprio ieri sono stati pubblicati i risultati di uno studio che indica come il timore di fatti di questo tipo, danneggi le attività economiche e i servizi internet.

Stando a quanto rilevato dagli esperti di Greenfield Online, infatti, l'80 per cento di un campione di 2mila americani si è detto preoccupato per questo genere di eventi e almeno il 40 per cento non utilizza, per poca fiducia, servizi di base come l'internet banking.
14 Commenti alla Notizia California, terra del megacrack
Ordina
  • ma come..non dicevano che l OpenBsd
    era il sistema operativo + sicuro al mondo?
    non+autenticato
  • > ma come..non dicevano che l OpenBsd
    > era il sistema operativo + sicuro al mondo?

    Infatti si parla di intrusione in un database non di intrusione nel sistema operativo.

    Comunque in questo articolo ci sono troppo pochi elementi per trarre conclusioni.
    non+autenticato

  • - Scritto da: Anonimo
    > > ma come..non dicevano che l OpenBsd
    > > era il sistema operativo + sicuro al
    > mondo?
    >
    > Infatti si parla di intrusione in un
    > database non di intrusione nel sistema
    > operativo.
    >
    > Comunque in questo articolo ci sono troppo
    > pochi elementi per trarre conclusioni.

    OpenBSD?
    Ma va là, sarà stato quella ciofeca bacata e scopiazzata di OSX, il BSD per mactroll.....
    non+autenticato
  • Se ti colleghi con LDAP client alla B.U. puoi vedere gli elenchi in linea degli studenti con tanto di E.MAIL e numero di telefono.

    Ovviamente vi saranno anche delle informazioni riservate che non puoi consultare pubblicamente ma se qualcuno per un esperimento ha cambiato i permessi di accesso al DB è possibile che qualcun altro abbia potuto accedervi dall'esterno.

    È come quando con Windows uno mette la password di Administrator - Administrator e poi uno entra e gli frega i dati, in questo caso non è cracking è idiozia.
    non+autenticato
  • Sicuramente usavano quel groviera di XP (no, aspetta, si chiama 2003 Server, è vero!).
    Oppure usavano un *x ma sicuramente a Berkley non c'erano sistemisti abbastanza bravi (Berkley? What's "Berkley"? )
    Oppure i dati di 1,4 megapersone non erano una banca dati abbastanza importante da essere affidata ad un bravo sistemista...
    Gianni, ma come si fa a non essere ottimisti!

    Ok, ok, intrusione umana |= intrusione automatizzata con malware (exploit automatizzati, virus e **zzilli vari), ci mancherebbe altro, ma non ho saputo resistere...
    forum degli ot e dei troll, arrivoooooo!
    non+autenticato
  • Ma si son fregati l'elenco telefonico

    Razor 1911 Rulez
    non+autenticato
  • > Ma si son fregati l'elenco telefonico
    "I dati che potrebbero essere stati copiati dagli autori dell'aggressione informatica comprendono nomi e cognomi, indirizzi di residenza, numeri di telefono, date di nascita e numeri della social security. Sono dati importanti che erano stati immessi in quel database a partire dal 2001,"
    *"sono dati importanti"*

    "Il cracking è avvenuto all'Università perché, con obbligo di riservatezza, gli studiosi dell'ateneo avevano ottenuto il permesso di lavorare su un progetto di ricerca legato a quelle informazioni. Permesso ora revocato."
    *sono stati affidati loro con obbligo di riservatezza, il che conferma che sono importanti*

    "Il timore delle autorità è che quanto accaduto possa compromettere non solo la privacy dei soggetti coinvolti ma soprattutto consentire a chi è ora in possesso di quei dati, di organizzare frodi finanziarie. Anche per questo la Agency californiana ha diramato una nota di avvertimento a tutti coloro che sono iscritti nel database affinché controllino con attenzione nei prossimi mesi i loro movimenti finanziari, perché attraverso il furto di identità che quelle informazioni possono consentire sono molte le "sorpresine" che potrebbero verificarsi..."
    *possono essere usati per danneggiare le persone coinvolte, quindi sono dati importanti*

    "Ma dato che si tratta di dati sensibili abbiamo pensato che la cosa migliore era dirlo alle persone coinvolte affinché possano prendere misure preventive"
    *repeat, si tratta di dati importanti*

    "Sul megacracking californiano sta indagando naturalmente il reparto cyber dell'FBI"
    *che non entra in funzione per indagare quando qualcuno ti ruba l'elenco telefonico dalle scale*

    Sisi, si sono fregati "l'elenco del telefono".... sisisi...
    non+autenticato
  • americani = Paranoici
    non+autenticato
  • > americani = Paranoici
    A parte che gli americani sono anglosassoni, irlandesi, polacchi, italiani, francesi, africani, portoricani, ebrei, messicani, cinesi...
    ... evidentemente paranoici non lo sono stati abbastanza!Occhiolino
    E se come affermano quel tipo di dati può essere usato per fare brutti scherzi economici e per schedare in base a parametri sociali riservati (sananno c*** del cittadino quelli? non si tratta di un semplice elenco telefonico), la cautela nel trattare quel tipo di dati deve essere alta!
    O sono stati dei p*** le PA e l'FBI a definire in quel modo quei dati?
    O non capiscono nulla gli istituti di credito che in base a quei dati in base ai vincoli di legge possono fare operazioni legali ma sbagliate?
    E perchè minimizzare l'incidente qui su PI?
    ;)
    non+autenticato

  • - Scritto da: Anonimo
    > > americani = Paranoici
    > A parte che gli americani sono anglosassoni,
    > irlandesi, polacchi, italiani, francesi,
    > africani, portoricani, ebrei, messicani,
    > cinesi...
    > ... evidentemente paranoici non lo sono
    > stati abbastanza!Occhiolino
    > E se come affermano quel tipo di dati
    > può essere usato per fare brutti
    > scherzi economici e per schedare in base a
    > parametri sociali riservati (sananno c***
    > del cittadino quelli? non si tratta di un
    > semplice elenco telefonico), la cautela nel
    > trattare quel tipo di dati deve essere alta!
    >
    > O sono stati dei p*** le PA e l'FBI a
    > definire in quel modo quei dati?
    > O non capiscono nulla gli istituti di
    > credito che in base a quei dati in base ai
    > vincoli di legge possono fare operazioni
    > legali ma sbagliate?
    > E perchè minimizzare l'incidente qui
    > su PI?
    >Occhiolino

    Il famoso Social Security Number in USA è un codice che permette di fare di tutto. Non capisco come abbiano potuto inventarsi un sistema così vulnerabile in partenza.
    Inoltre mi chiedo perchè per ragioni di studio (statiscici o altro) quei dati fossero presenti nell'Istituto. Se fosse stato per me avrei fornito i dati con dei numeri fasulli. In fondo a cosa servono i numeri reali per uno studio? A meno che non vogliano calcolare la ripartizione dei valori dei codici della Sicurezza Sociale in base al luogo di residenza dei cittadini.

    Quindi l'errore non è stato solo quello del sistemista che non ha protetto abbastanza i dati, ma a mio avviso è stato prima di tutto un errore della PA nel fornire tutti i dati.
    non+autenticato
  • > Il famoso Social Security Number in USA
    > è un codice che permette di fare di
    > tutto. Non capisco come abbiano potuto
    > inventarsi un sistema così
    > vulnerabile in partenza.
    Un po semplicistico, no? Ci sono *tanti* altri codici e numeri in molti sistemi con cui è possibile fare di tutto (per legge o per prassi, esempio deviante, le carte di credito perdute o rubate, qui quasi nessuno fa il controllo incrociato con firma e documento quindi un sistema sicuro diventa insicuro), qui da noi, Striscia insegna, ci sono tanti faldoni penali o con dati economici in edifici fatiscenti o raggiungibili dall'esterno senza controlli, poi la bella figura della previdenza sociale che non riusciva nemmeno a mettere insieme i db dei vari enti per dire quante pensioni sono erogate e a chi, e tante altre cose che non mi fanno pensare bene sulla sicurezza dei tanti db con i nostri dati, informatizzati e non... non è che vòio fà l'americano, ma mi sa che sistemi sicuri *passivamente* E funzionali sia difficile trovarne, e se ce ne sono sono molto diversi in primis dai nostri.
    Cmq il mio era solo uno scherzo e un invito alla massima prudenza sempre, senza credere in ricette miracolose, anche i migliori, come quelli di Berkley, possono sbagliare, e nel campo della sicurezza chi è paranoico in realtà è solo ottimista!
    non+autenticato

  • - Scritto da: Anonimo
    > Il famoso Social Security Number in USA
    > è un codice che permette di fare di
    > tutto. Non capisco come abbiano potuto
    > inventarsi un sistema così
    > vulnerabile in partenza.
    > Inoltre mi chiedo perchè per ragioni
    > di studio (statiscici o altro) quei dati
    > fossero presenti nell'Istituto. Se fosse
    > stato per me avrei fornito i dati con dei
    > numeri fasulli.

    Il SSN e' praticamente l'unico identificatore delle persone fisiche in America. Proprio perche' tale viene usato per distinguere due persone. Fornire un SSN fasullo e' possible, l'unico problema e' che poi viene accusato di "felony" e quindi praticamente ti rovini la vita.

    > In fondo a cosa servono i
    > numeri reali per uno studio? A meno che non
    > vogliano calcolare la ripartizione dei
    > valori dei codici della Sicurezza Sociale in
    > base al luogo di residenza dei cittadini.

    Domanda interessante ma credo che i dati siano stati forniti in blocco senza troppo interessarsi al reale utilizzo degli stessi. Tra parentesi il SSN non indica la residenza ma bensi' lo stato nel quale si e' nati (o si e' acquisita la cittadinanza).

    Il problema e' ancora piu' a monte: l'uso del SSN, elemento veramente utile nel caso si volesse clonare l'identita' di una persona, come unico identificatore delle persone fisiche.
    Io all'universita', cosi' come al College, avevo come numero identificativo il mio SSN....calcola che i prof. volevano il SSN scritto sui compiti in modo da non dover perder tempo quando li correggevano....pensa te.

    Se andavi a pagare ti chiedevano la "student ID"...e te a voce alta recitavi i nove numeri del tuo SSN cosi' anche gli altri potevano condividere con te la tua identita'.

    Finalmente durante l'estate hanno cambiato ed ora abbiamo un ID diversa.....c'hanno messo parecchio pero' per capirlo.
    Quindi non mi stupirei piu' di tanto nel sapere che anche il SSN era stato compiato nell'archivio nonostante non servisse a nulla....in fin dei conti se uno vuole sapere il luogo di nascita di una persone basta che guardi ai primi 3 numeri.

    Saluti
    non+autenticato

  • > Razor 1911 Rulez

    10 minuti fa stavo proprio guardando una loro demo!

    TAD
  • No, non stavano usando XP perchè qui non si parla di perdita di dati , si parla di furto.
    non+autenticato