Alfonso Maruccia

USA, i database della politica ad accesso libero sul cloud

Gli esperti denunciano la potenziale compromissione dei dati appartenenti a milioni di cittadini statunitensi, "colpevoli" solo di essere finiti nei database analitici di un contractor del Grand Old Party che ha eletto Trump

Roma - Da UpGuard arriva la denuncia di un nuovo caso di cloud computing insicuro, con un database online contenente un notevole quantitativo di dati sensibili che è risultato accessibile pubblicamente dall'esterno per un periodo di tempo non determinato. La colpa è dell'azienda che aveva ammassato il database a scopo elettorale per conto del Partito Repubblicano statunitense (GOP).

I ricercatori hanno identificato qualcosa come 198 milioni di record su altrettanti cittadini USA, tutti archiviati in un database sul servizio Amazon Web Services S3 dal contractor Deep Root Analytics; la società di analisi era stata assunta dal Comitato Repubblicano Nazionale (RNC), allo scopo di analizzare i profili dei potenziali votanti alle elezioni presidenziali del 2016.

L'istanza di storage S3 era stata malconfigurata, dicono da UpGuard, ed era quindi accessibile pubblicamente a chiunque avesse conosciuto il sottodominio AWS corrispondente. Nel Terabyte e passa di fogli di calcolo archiviati sul cloud erano registrati informazioni particolarmente sensibili come nome e cognome, data di nascita, indirizzo domestico, numero di telefono, registrazione a un partito politico, eventuale presenza nelle liste "Do Not Call" e persino dati sulla etnicità e la religione prese a modello.
Assieme agli altri 24 Terabyte di dati adeguatamente protetti, sostengono gli esperti, i fogli di calcolo potenzialmente compromessi sono serviti al Partito Repubblicano per "profilare" i potenziali elettori e, alla fine, spingere alla vittoria il presidente più improbabile della storia americana degli ultimi decenni (Donald Trump).

Nelle scorse settimane UpGuard ha provveduto a informare Deep Root del problema, e a partire dallo scorso 14 giugno l'istanza di storage su AWS non risulta più accessibile dall'esterno senza credenziali. Di certo il nuovo caso di insicurezza getterà ulteriore benzina sul fuoco delle polemiche in merito alle elezioni presidenziali dell'anno scorso, un appuntamento che era stato fin qui oggetto di dibattito dopo l'hacking delle email del Comitato Democratico Nazionale di Hillary Clinton.

Alfonso Maruccia
Notizie collegate
14 Commenti alla Notizia USA, i database della politica ad accesso libero sul cloud
Ordina
  • ormai c'è una compravendita di dati sensibili ed ogni volta si inventa una scusa diversa: un bug ... un errore umano ... un hackerone russo ...
    non+autenticato
  • se la macchina era malconfigurata non importa che fosse in cloud o altrove...
    non+autenticato
  • - Scritto da: mementomori
    > se la macchina era malconfigurata non importa che
    > fosse in cloud o
    > altrove...

    Se la macchina e' in casa tua, la responsabilita' della configurazione e' tua.

    Ma come ben sappiamo tutti, il cloud e' il computer di qualcun altro, e tu non puoi farci niente se e' configurato male.
  • - Scritto da: panda rossa
    > - Scritto da: mementomori
    > > se la macchina era malconfigurata non
    > importa
    > che
    > > fosse in cloud o
    > > altrove...
    >
    > Se la macchina e' in casa tua, la responsabilita'
    > della configurazione e'
    > tua.

    mi permetto di correggere:
    se la macchina è tua, la responsabilità della configurazione è tua


    > Ma come ben sappiamo tutti, il cloud e' il
    > computer di qualcun altro, e tu non puoi farci
    > niente se e' configurato
    > male.

    ma loro non hanno usato il pc di qualcun altro. hanno usato un servizio di qualcun altro. nello specifico s3. Chi ha avuto accesso ai dati lo ha fatto entrando dalla porta principale non tramite un bug nell'architettura di aws.
    non+autenticato
  • Motivo in più per non fidarsi del cloud
    non+autenticato
  • - Scritto da: ...
    > Motivo in più per non fidarsi del cloud

    A questo punto è meglio che tu non abbia alcun account da nessuna parte, a meno che non sia un tuo server che amministri sempre e solo tu.

    Stacca il plug di rete che fai prima.
    non+autenticato
  • account ne ho a non finire ma file miei personali in nessun cloud. ma tu non puoi capire la differenza
    non+autenticato
  • - Scritto da: ...
    > account ne ho a non finire ma file miei personali
    > in nessun cloud. ma tu non puoi capire la
    > differenza

    Infatti non hanno diffuso i loro dati personali... ma quelli degli altri...

    e in ogni caso mi spiace ma, a meno che tu non viva in una grotta abusivamente, i tuoi dati personali sono nel cloud di qualcuno.
    tanto per dire l'ANPR contiene i tuoi dati a meno che tu non sia un clandestino (nella grotta o meno).

    cloud è solo una buzzword creata dai commerciali per vendere una cosa vecchia con un nome nuovo. Questa "rivoluzione" non è nata con il cloud ma con https://developer.mozilla.org/en-US/docs/Web/API/X...

    questa semplice API ha modificato il modo con il quale l'utente di interfaccia con le applicazione che usano http come protocollo di scambio dati. Senza questa il "cloud" sarebbe solo un c*zz* di hosting stile anni '90.
    non+autenticato
  • proprio non vuoi capire eh? ok usa pure il cloud e vivi felice
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: mementomori
    > > se la macchina era malconfigurata non
    > importa
    > che
    > > fosse in cloud o
    > > altrove...
    >
    > Se la macchina e' in casa tua, la responsabilita'
    > della configurazione e'
    > tua.
    >
    > Ma come ben sappiamo tutti, il cloud e' il
    > computer di qualcun altro, e tu non puoi farci
    > niente se e' configurato
    > male.

    In Internet il 99.99% dei computer non sono mai tuoi.
    Ora riformula.
    non+autenticato
  • Ma ci fai o ci sei?
    non+autenticato
  • Ni, magari a casa tua hai meno demoni esposti verso l'esterno ed hai la situazione un po' più "sotto controllo"...
    non+autenticato