500.000 documenti finanziari online senza protezioni

Un gruppo di ricercatori ha scovato online un database non protetto che includeva 500.000 documenti finanziari e commerciali altamente sensibili. Un altro caso di incuria che potrebbe costare caro all'azienda che lo gestiva.

Un database AWS S3 non protetto ha esposto 500.000 documenti finanziari e commerciali altamente sensibili. Le aziende coinvolte sono Advantage Capital Funding e Argus Capital Funding, finanziarie che probabilmente fanno capo alla stessa realtà industriale. L'ammontare dei dati esposti è di 425 GB. Erano legati all'app MCA Wizard per iOS e Android, che non è più scaricabile. A scoprire l'accaduto sono stati i ricercatori della società di sicurezza vpnMentor.

L'app sembra uno strumento per sottoscrivere prestiti commerciali relativamente piccoli, tipicamente concessi a piccole aziende (Merchant Cash Advance). Fra i dati che erano presenti nel database ci sono rapporti di credito, estratti conto bancari, contratti, documenti legali, copie di patenti di guida, ordini di acquisto e ricevute, dichiarazioni fiscali, informazioni sulla previdenza sociale e report sulle transazioni.
checks

Molte di queste informazioni sembrano avere poco a che vedere con l'app soprannominata. I ricercatori, scoperto il database, hanno cercato di contattare le aziende interessate. Non riuscendo nell'intento, hanno allertato AWS, che ha immediatamente bloccato l'accesso al database.

Al momento non ci sono prove circa l'accesso al database da parte dei cyber criminali, anche se l'opzione non si può escludere totalmente. Considerato il tipo di dati sensibili senza protezione, i criminali informatici avrebbero potuto usarli per avviare campagne di phishing, perpetrare frodi finanziarie, diffondere assegni falsi. Ma anche per ricattare le vittime, bersagliarle con ransomware, spyware, malware e forme simili di attacco online. Oltre ovviamente a vendere tutte le informazioni raccolte sul Dark Web.

Il caso rimette l'accento sull'obbligo di tutela dei dati da parte delle aziende. A parte il danno d'immagine, le realtà coinvolte saranno verosimilmente oggetto d'indagine da parte dei regolatori statunitensi della sicurezza finanziaria e dei dati. Si ricorda al proposito che lo stato della California ha recentemente approvato il California Consumer Privacy Act (CCPA) proprio per gestire casi di questo genere.

Per evitare di incorrere in questi guai, le aziende devono proteggere adeguatamente i propri server, implementare regole di accesso adeguate e rendere sempre privati i propri database, seguendo le pratiche di accesso e autenticazione fornite da AWS (nel caso di Amazon).

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 20/03/2020

Tag: cyber security privacy dati database

Articolo precedente

La pandemia di Coronavirus sta condannando a morte la VPN

Lo smart working di massa per contenere la pandemia di COVID-19 causa un'impennata di connessioni VPN. Potrebbe sancire la definitiva morte di questa tecnologia ormai datata.

Articolo successivo

Attacchi ransomware: si possono fermare prima che inizino

Gli esperti di FireEye hanno notato una caratteristica comune a molti attacchi ransomware: restano silenti per giorni per crittografare i file. Un monitoraggio attento può bloccare i cyber criminali prima che attuino i loro piani.