09 Apr 2011

Epsilon e la sicurezza dei dati sensibili: calma e sangue freddo

Furto indirizzi emailIl 1° Aprile scorso Epsilon, uno dei più importanti ESP al mondo, è stata vittima di un attacco e che molti dati personali di numerosi clienti dell'agenzia sono stati "rubati". Ne ha parlato il WallStreetJournal e la CNN, in italia la notizia è passata in sordina.

Steve Atkins, cofondatore di Word To The Wise, ha pubblicato ieri un ottimo articolo che ho avuto il permesso di tradurre e pubblicare di seguito.


C'è stata una notevole copertura mediatica e numerose discussioni on-line circa il furto di dati da Epsilon, e come questo fatto dovrebbe essere un grosso campanello d'allarme per sensibilizzare gli utenti a cambiare il loro comportamento.

C'è stato inoltre molto panico e molte dita puntate all'interno dell'industria dell'email su Che Cosa Deve Essere Fatto in Futuro. La maggior parte dei suggerimento nella forma "In risposta alla perdita di dati è necessario fare X" sono provenienti dalle stesse persone e gruppi che hanno detto "è necessario fare X" per anni, e ora stanno solamente cercando di approfittare di questo momento mediatico.

Penso non siano molti a parlare onestamente di ciò che questo significherà veramente per un utente il cui indirizzo email è stato perso da Epsilon. Cerco quindi di rispondere, realisticamente, ad alcune domande che ho sentito fare.

1. Chi è Epsilon?

Epsilon è un fornitore di servizio email, o ESP. Significa che gestisce l'invio di email per conto di altre società. Se avete aderito ad una mailing list, ricevete newsletter o offerte speciali o qualunque tipologia di pubblicità via email, è molto probabile che l'azienda "mittente" di questi messaggi non li spedisca in autonomia. Più probabilmente l'invio email è stato "appaltato" ad un ESP che gestisce l'invio per conto dell'azienda. Questo è un bene poichè l'invio di email a tanta gente in maniera corretta, con una consegna tempestiva, con attenzione che vengano contattate solo persone che l'hanno chiesto e via dicendo, è un'attività piuttosto difficile da fare bene e qualunque ESP si scelga è probabile che riesca ad ottenere risultati migliori di ciò che una tipica azienda potrebbe fare spedendo email massive in autonomia.

2. Che cosa è successo a Epsilon?

Il "cosa" è abbastanza semplice: qualcuno ha rubato un elenco di nomi e indirizzi email di persone ai quali Epsilon inviava email per conto dei suoi clienti. Nessuno, al di fuori di Epsilon e delle autorità che stanno indagando, conosce i dettagli dell'accaduto, anche se molte persone stanno speculando su di essi.

3. Si tratta di furto di identità? Devo controllare il residuo della mia carta di credito?

No, non è qualcosa che porta al furto di identità. Sono stati rubati "solamente" il nome e l'indirizzo email dei clienti di alcune aziende che inviano email tramite Epsilo. L'indirizzo postale, numero di carta di credito, numeri di previdenza sociale e così via non sono a rischio, anche se tali dati sono in possesso alle società che stanno inviando email. Le uniche informazione che queste aziende avevano passato ad Epsilon erano il nome e l'indirizzo email, e basta, di conseguenza possono essere stati rubati solamente questi dati.

4. E' una cosa comune?

Sì, succede spesso. Io utilizzo un indirizzo email "apposito" (tagged email address) ogni volta che fornisco i miei dati ad una società, e l'ho fatto in maniera piuttosto continuativa per quasi due decenni. In questo modo mi è possibile tracciare quando uno di questi indirizzi viene diffuso, qual è stata la società che l'ha "perso". Gli indirizzi email che raccolti dalle aziende vengono "trafugati" dagli spammer continuamente. Succede nelle grandi aziende, nelle piccolissime imprese, agli esperti di aziende tecnologiche, a chiunque.

5. In che modo gli spammer s'impossessano di questi indirizzi?

In tanti modi:

  • L'azienda stessa vende gli indirizzi (piuttosto raro, almeno per aziende rispettabili)
  • Un impiegato dell'azienda copia gli indirizzi email e li vende (raro, ma accade, specialmente quando un dipendente lascia un'azienda e si porta via una copia di tutti i dati ai quali aveva accesso - un rappresentante di Oracle l'ha fatto per uno dei miei indirizzi di posta elettronica, ad esempio)
  • L'azienda subappalta una parte delle sue attività - come l'invio di email - di un'altra società e qualcuno si copia gli indirizzi. (Non così comune, ma può succedere quando una società rispettabile si affida ad un'altra azienda semi-stimabile che a sua volta assume un "marketer" non troppo onesti che affida l'invio ad uno spammer)
  • L'azienda lascia la lista di indirizzi email accessibile in maniera pubblica e qualcuno si imbatte nella lista (raro per aziende rispettabili ma purtroppo molto comune per siti amatoriali e piccole aziende del web)
  • Qualcuno riesce ad accedere ai dati utilizzando strumenti automatici che cercano problemi nei software più diffusi e lo fanno casualmente su migliaia di siti fino a trovarne uno vulnerabile (difficile da dire, ma probabilmente abbastanza comune)
  • Qualcuno prende di mira una specifica azienda (consapevole dell'enorme quantità di dati trattati) ed irrompe nella rete aziendale appositamente per rubare indirizzi (probabilmente molto raro, ma quando accade ci troviamo di fronte ad un incidente di alto profilo - come dimostra l'avvenimento di Epsilon)
  • Gli indirizzi email sono, per qualche ragione, lasciati su un desktop o un portatile Windows, e questo portatile è stato infettato da un virus o compromesso in qualche altro modo, in maniera tale da inviare l'elenco degli indirizzi su Internet, senza la volontà del proprietario del computer (molto comune, specialmente nel caso di aziende con rappresentati che rimangono in contatto direttamente dal proprio computer con numerosi clienti e mantengono tutti i contatti nella rubrica del pc). Allo stesso modo un indirizzo può essere "diffuso" dal PC infetto di un qualunque nostro amico o conoscente che abbia avuto contatti via email con noi.

... e tanti altri...

6. Allora perché è la prima volta che sento parlare di questo problema?

Non saprei. La perdita di dati di Epsilon è stata abbastanza grande, ed i loro clienti sono stati abbastanza trasparenti nel notificare i propri clienti sull'accaduto. Questo probabilmente è avvenuto perchè negli ultimi anni si tende a pensare che le persone debbano essere notificate in questi casi e qualche legge (almeno in California) lo richiede esplicitamente. A causa quindi della dimensione della perdita e della "trasparenza" delle aziende, questo particolare incidente ha avuto grande eco su social media, blog, facebook, twitter e, infine su TV e carta stampata.

7. Che cosa mi succederà di brutto?

Non molto. Forse niente.

Se in passato non ricevevi spam per niente allora potrebbe cominciare a comparire qualche email di spam. Prima o poi avresti cominciato a ricevere spam in ogni caso, perchè gli indirizzi vengono "persi" o "trafugati" continuamente, dai singoli proprietari, dai fornitori di servizi Internet ed ESP.

Se ricevevi già spam, allora potrà aumentare un po'. Ma probabilmente non così tanto da essere notato. L'ecosistema degli spammer ha già il tuo indirizzo email, e sei già una vittima.

Potrebbe succedere che sarete vittima di tentativi di phishing d'"informazione" come password e vostri dati di accesso. Lo spammer che possiede qualche informazione di più sul vostro conto e soprattutto che sa a quale azienda avevate affidato i vostri dati per ricevere informazioni potrebbe "impersonare" quell'azienda e scrivervi cercando di ottenere altre informazioni. E' comunque importante porre sempre la massima attenzione e non dare mai informazioni personali in risposta a simili richieste.

Se una email è sospetta, oppure c'è un link che punta ad una pagina dove viene richiesta una password o qualunque altra informazione, meglio non procedere. Piuttosto usate i preferiti o digitate il link del sito al quale volete accedere.

E' tutto.

8. OK, Cosa mi succederà di bello?

Non molto. Forse ora sei più consapevole del phishing di quanto lo fossi prima, ed hai un'idea più chiara di ciò che le aziende fanno con il tuo indirizzo email.

9. Cosa devo fare?

Keep Calm and Carry On

Mantenere la calma e andare avanti.

Il mondo non finirà. I cattivi non stanno prendendo il controllo della tua vita.

E' bene prestare attenzione alle aziende che ti hanno scritto che i tuoi dati potrebbero essere stati trafugati e soprattutto essere un po' più cauti con chi sostiene di essere una di queste aziende nei prossimi mesi. Una buona soluzione potrebbe essere quella di comunicare un nuovo indirizzo email a queste aziende così da poter essere più cauti con le email ricevute da tali aziende (o da chiuque tenti di impersonarle) ricevute al vecchio indirizzo.

Ma ricordate: anche se non siente stati oggetto di notifiche simili, non significa che non il vostro indirizzo email non sia mai stato rubato in altro modo, sia in questo incidente che in un altro, quindi è comunque bene diffidare di qualunque email richieda informazioni su vostri dati di accesso o che rimandi ad una pagina web in cui è necessario accedere o fornire credenziali. Brian Krebs ha qualche buon consiglio su come evitare truffe via email e phishing - niente di nuovo, ma piuttosto i soliti buoni consigli, ripetuti per l'occasione.

Potreste cogliere l'occasione per decidere di utilizzare più di un indirizzo email: uno da usare solo con la tua banca, per esempio, in modo da capire che qualunque email bancaria ricevuta su altri indirizzi è solamente l'ennesimo tentativo di truffa.

10. Che cosa non devo fare?

Non smettere di usare l'email, sia con gli amici che con le aziende. Ho detto sopra che gli indirizzi email vengono trafugati continuamente, ma succede solo ad una piccolissima parte di essi. Per ogni indirizzo email che ho dato ad una società che se l'è lasciato "sfuggire" ce ne sono stati centinaia che non l'hanno fatto. Basta non essere troppo fiduciosi nei confronti di richieste pervenute via email, e fidatevi del vostro istinto.

Non date troppa attenzione a chi cercherà di usare questo incidente per promuovere propri prodotti o per spingerti a grandi cambiamenti nel comportamento online. Le società di sicurezza e i blogger amano i titoli spaventosi e terrorizzanti perchè raccolgono maggiore attenzione rispetto ad articoli sobri ed rapporti accurati.

Il rischio di phishing e lo spam c'erano un anno fa e ci sono ancora oggi. Non sono cambiate molte cose. Occhi bene aperti contro le truffe via email ma mantenete la calma e andate avanti.

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)