Stando agli esperti di sicurezza che descrivono il caso, quello che è capitato a Equifax ha dell’incredibile: la società con base ad Atlanta, specializzata nell’analisi del rischio finanziario e altri servizi simili per le aziende, si è vista sottrarre dati su qualcosa come 143 milioni di cittadini statunitensi . Dati dalla natura particolarmente sensibili, che ora gli ignoti cyber-criminali potranno sfruttare negli anni a venire per ogni genere di truffa e operazione malevola online.
Si parla, potenzialmente, del 44 per cento della popolazione USA coinvolta – e la percentuale cresce ancora se si escludono i bambini o le persone senza “storico” di operazioni finanziarie a loro carico: sfruttando una vulnerabilità nel sito aziendale, i criminali hanno rubato ad Equifax informazioni estremamente preziose come nomi completi, date di nascita, numeri della Sicurezza Sociale, indirizzi e persino numeri identificativi della patente di guida.
Non si tratta insomma di una “banale” password di accesso che può essere cambiata in un paio di minuti, ma di dati che tendono a restare sempre gli stessi per anni, forse per sempre ; e ora tutti quei dati – e potenzialmente le identità digitali di oltre 140 milioni di persone – sono alla mercé di chi potrà sfruttarli più e più volte per rubare denaro, truffare, compromettere identità e molto altro ancora.
A peggiorare ulteriormente la faccenda è poi il modo in cui Equifax ha reagito alla gravissima breccia nei server, aspettando più di cinque settimane per svelare pubblicamente l’incidente dopo la sua scoperta (lo scorso 29 luglio) e permettendo a tre dirigenti di sbarazzarsi di quasi due milioni di dollari in azioni nei giorni successivi.
Inoltre, il sito messo in piedi per notificare il pubblico e gli utenti è risultato essere un autentico colabrodo : il portale usa un’installazione standard del CMS WordPress (decisamente poco adatto ad applicazioni di livello enterprise), certificati TLS fallati e un dominio che non è nemmeno registrato a nome dell’azienda interessata.
Gli effetti pratici della breccia nei server Equifax potranno essere verificati solo sul medio e lungo termine, certo è che da oggi i cyber-criminali – e magari le agenzie di intelligente straniere – hanno a disposizione un nuovo, pericoloso database di dati sensibili utilizzabile per compiere ogni genere di azione malevola a mezzo Internet.
Alfonso Maruccia