Il valore infinito (in tempo ed in denaro) dei furti di dati ed identità sul web

Regalare 386 milioni di utenze su un forum del dark web non è cosa di tutti i giorni, eppure la scorsa settimana è accaduto. Autore del gesto il gruppo ShinyHunters, che tra aprile e luglio di quest'anno si è reso protagonista di una consistente serie di violazioni di siti in giro per il web. La spiegazione del gesto è stata molto semplice: "Ho pensato di avere fatto abbastanza soldi e quindi era arrivato il momento di condividere i dati a vantaggio di tutti".

La prima considerazione riguarda proprio questa stravagante idea, che un simile gesto sia a beneficio di tutti. Sono certo che le 386 milioni di vittime avrebbero molto da dire sulla questione. Un'altra riflessione è quanti potrebbero essere i soldi che derivano dal traffico illecito di una simile quantità di informazioni. Ovviamente non esiste un listino prezzi ufficiale, piuttosto ci sono "trattative private" in cui le cifre oscillano tra le migliaia e le centinaia di migliaia di dollari. Il valore cresce sulla base di una serie di elementi: numerosità degli utenti, completezza (per esempio se ci sono i dati di carte di credito o le password), se è possibile dimostrare con certezza la provenienza e l'autenticità, l'importanza e la natura del sito violato (una banca vale più di un giornale on line), il fatto che l'attacco non sia stato ancora scoperto.

Questi sono alcuni degli elementi che entrano in gioco nella valutazione, insieme ovviamente agli obiettivi del compratore che spesso fanno la differenza. In ogni caso, visto che si tratterebbe di ben 18 diversi sistemi violati, probabilmente saranno state soddisfatte le esigenze di molti e diversi attori che operano nell'ambito del cyber crime, quindi ShinyHunters potrebbe effettivamente avere raccolto un discreto gruzzolo.

A questo punto, però, visto che sono stati divulgati i più potrebbero pensare che adesso sono praticamente privi di valore, immaginando che i siti abbiano messo una pezza ai loro problemi di sicurezza, se presenti, e tutti gli utenti abbiano modificato la propria password. In realtà non è assolutamente vero, perché le informazioni, a differenza del petrolio a cui spesso sono accostate, sono una fonte di ricchezza, anche illecita, rinnovabile all'infinito. Facciamo qualche esempio.

Le password saranno state probabilmente modificate, ma forse qualche utente ha la pessima abitudine di utilizzare la stessa per più siti. In alternativa una gran quantità di "parole chiave" può servire a costruire dei database di quelle più comune usate o, per meglio dire, dei criteri che con più frequenza sono utilizzati per costruirle (per esempio con alcuni caratteri presi dal proprio nome, combinati con il mese corrente e magari con qualche numero di una data nascita). Pensate quanto possono essere utili le liste di utenti di siti molto specializzati (per esempio quelli dei collezionisti o in generale di appassionati); permetterebbero di costruire delle campagne di phishing molto mirate che farebbero leva proprio sull'hobby preferito della vittima.

Un discorso non diverso può essere fatto se si riesce a mettere la mani sulle liste degli acquisti effettuati su un sito di e-commerce. Quanto potrebbe essere efficace un messaggio truffaldino del produttore dell'ultimo bene acquistato che propone un ricco sconto o un buono acquisto. L'elenco potrebbe continuare ancora a lungo, ma senza dare suggerimenti criminalmente rilevanti è significativo come il crescere delle informazioni disponibile non produce alcun effetto inflazionistico, al contrario più i dati disponibili aumentano più anche quelli meno recenti acquisiscono nuovo valore. Di conseguenza mi torna alla mente una domanda che mi affligge da tempo: se abbiamo capito che le informazioni sono come denaro, anzi meglio, per quale motivo abbiamo un così scarso rispetto di quelle più importanti? Che poi sarebbe quelle che ci riguardano e appartengono.