Rosita Rijtano per www.repubblica.it

cam4 1

 

EMAIL, orientamento sessuale, nomi e cognomi, pagamenti e conversazioni private: sono solo alcune delle informazioni degli utenti di Cam4.com, un sito per adulti su cui è possibile trasmettere e guardare esibizioni porno, che sono state trovate esposte online.

 

Nessun attacco informatico da additare stavolta, ma un banale errore umano che ha messo a rischio i dati sensibili di milioni di persone, tra cui 4.9 milioni di italiani. Il nostro è il terzo paese più coinvolto dopo Stati Uniti e Brasile, dove si contano rispettivamente 6.5 e 5.3 milioni di utenti esposti. A fare la scoperta è stato il team di ricerca di Safety Detectives, un portale di recensioni antivirus, che ha individuato in un server non protetto da password, quindi potenzialmente accessibile a chiunque, sette terabyte di dati facenti capo a Cam4.

cam4 2

 

Dalle email alle trascrizioni delle chat

Un ritrovamento che fa rumore per due motivi. Da una parte, la popolarità del sito: un portale per il sesso via webcam che conta due miliardi di visitatori l'anno e oltre 75mila show trasmessi al giorno che possono essere guardati gratis, o sotto pagamento.

 

Dall'altra, la tipologia di informazioni lasciate alla mercé dei malintenzionati, ovvero dati particolarmente sensibili che potrebbero mettere a rischio "i diritti e le libertà delle persone", come scritto nel Gdpr, il regolamento europeo per la privacy. Basti pensare a quanto accaduto agli iscritti ad Ashley Madison, il sito di incontri dichiaratamente dedicato agli adulteri che nel 2015 venne compromesso da un attacco informatico.

cam4 10

 

Ashley Madison

Nell'estate di quell'anno password, nomi e cognomi, indirizzi email e fantasie sessuali degli utenti finirono sul dark web, la parte della Rete a cui si accede solo tramite dei specifici software e qualche mese dopo, durante le festività natalizie, in molti si videro recapitare nella buca delle lettere un messaggio ricattatorio in cui veniva loro chiesto il pagamento di quattromila dollari in bitcoin. In caso contrario, la minaccia era l'invio delle prove del tradimento a partner, parenti e amici. Un precedente che fa intuire quanto sia potenzialmente pericolosa l'esposizione dei dati degli aficionados di Cam4. Più nel dettaglio, i ricercatori di Safety Detectives guidati da Anurag Sen hanno scovato nel server 10,88 miliardi di voci di cui 11 milioni contenevano indirizzi di posta elettronica, e altri 26 milioni password cifrate. C'erano, poi, nomi e cognomi degli iscritti, il loro paese di origine, la data di iscrizione al sito, il genere preferito e l'orientamento sessuale, informazioni sui dispositivi e sulle carte di credito utilizzate, la trascrizione della corrispondenza via email e delle chat tra gli utenti, nonché tra questi ultimi e il personale del sito. Una lista che la testata statunitense Wired ha definito "preoccupantemente comprensiva".

cam4 6 BUFALE WEB IL SITO ASHLEY MADISON

Un sito di sex cam ha esposto i dati di 5 milioni di utenti italiani

Condividi 

 

Errori frequenti

Il tutto a portata di click per un banale errore di configurazione di un server ElasticSearch: un database che viene utilizzato da molti portali per mantenere i dati di utenti, prodotti o servizi. "Non dovrebbero poter essere accessibili dall'esterno, ma soltanto dal sito web e tramite l'utilizzo di una parola chiave", spiega il consulente informatico Paolo Dal Checco.

 

cam4 4

"Purtroppo, però, capita che qualcosa sfugga e il sistema diventi raggiungibile da chiunque. Se chi l'ha configurato non ha impostato alcuna password, il rischio che quanto custodito al suo interno diventi di dominio pubblico è altissimo". È accaduto a Cam4, ma sono episodi tutt'altro che isolati e tutti hanno come massimo comune divisore la cattiva configurazione dei server ElasticSearch. Come dimostra il caso del quotidiano francese Le Figaro che nei giorni scorsi ha esposto i dati dei propri abbonati e dei propri giornalisti, o di Peekaboo Moments, un'applicazione per creare un album formato tascabile con le foto dei propri figli, che ha lasciato non protetti migliaia di video e immagini di minori.

persone che hanno usato la chat di ashley madison

 

Lassismo che riguarda anche i colossi, è l'esempio di Adobe Creative Cloud a cui facevano capo i dati di oltre sette milioni di abbonati trovati su un server mal configurato, tra cui indirizzi email, date di creazione degli account, prodotti per i quali era stata effettuata una sottoscrizione, stato dell’abbonamento e dei pagamenti, identificativi degli utenti, e paese di origine. O, seppur slegato a ElasticSearch, di Facebook che ha custodito in un database non protetto da password centinaia di milioni di numeri di telefono associati ad altrettanti account, e del Blog delle Stelle, il blog ufficiale del Movimento 5 Stelle.

 

I rischi per gli utenti

cam4 9 ashley madison uomini che cercano le donne

Tanto comuni sono gli errori quanto è facile trovarli grazie "a servizi che scandagliano periodicamente la rete e raccolgono informazioni dei server che visitano, prendendo nota di tutte le vulnerabilità che trovano, dalle più gravi alle meno gravi", assicura Dal Checco. Una capacità che può essere sfruttata sia dai ricercatori a fin di benne sia dai criminali informatici che si intrufolano nei database per sfruttare le informazioni racimolate a scopo di lucro. Dopo aver ricevuto comunicazione della falla, Granity Entertainment — l'azienda irlandese proprietaria di Cam4 — ha rimosso il server incriminato nel giro di poco più di un'ora e si è affrettata a dichiarare che al suo interno non c'è stata alcuna intrusione, a parte quella dei ricercatori che l'hanno scoperto ovviamente.

cam4 7

 

ashley madison

"Nessuno" e "senza ombra di dubbio" ha avuto impropriamente accesso alle informazioni degli utenti, si legge in un comunicato stampa della compagnia. Eppure, conferma Dal Checco, è impossibile verificare dall'esterno se qualcun altro è riuscito a dare una sbirciata al database, o meno, né tantomeno è possibile sapere con esattezza per quanto tempo il server sia rimasto online senza alcuna protezione. I rischi per gli utenti sono molteplici. "In primis, la possibilità di essere ricattati, visto anche il tipo di servizio offerto dal sito. In secondo luogo, il fatto che gli utenti usano spesso la stessa password su più piattaforme consente ai criminali informatici di tentare l'intrusione in servizi terzi usando la chiave di accesso sfruttata su Cam4.

 

cam4 3 cam4 5

O viceversa, sapendo che un utente è registrato al sito, è possibile provare ad accedere al suo account con password prelevate da altri data breach ma legate allo stesso indirizzo di posta", conclude l'informatico forense. Ecco perché, come scrive il giornalista di Wired Brian Barrett, quando si tratta di informazioni così sensibili le aziende dovrebbero prendere ogni precauzione possibile per proteggerle, non le minime indispensabili. Nel frattempo, consiglio sempre valido: se siete tra gli utenti di Cam4, non vi resta che cambiare le vostre password.

ashley madison cam4 8