Come forse saprete sul finire dello scorso settembre Archive.org è stato violato [1] ed ha subito l’esfiltrazione di 6.4 GB di dati. Il database sottratto (ia-users.sql) sembra contenga l’archivio degli account inclusi nome utente, email, hash delle password ed altre informazioni di contorno. In totale il database conterrebbe oltre 31 milioni di indirizzi email univoci. Uno di questi è il mio 🙂 Per di più il sito è da alcuni giorni irraggiungibile a causa di un attacco di tipo DDOS [2] che potrebbe essere strettamente collegato alla violazione precedente.

Ne parlo come di un dato assodato, ma la reale situazione è emersa solo da un paio di giorni e la trasparenza delle informazioni fin qui note lascia molto perplessi. La violazione dei server dello scorso settembre infatti non era stata resa pubblica e nulla era stato comunicato agli utenti prima che un messaggio beffardo inserito dagli stessi aggressori avvisasse i visitatori e che il successivo DDOS rendesse irraggiungibile il servizio. Non molto rassicurante…

Ma vi dicevo che uno dei milioni di indirizzi oramai alla mercé di chiunque su Internet è il mio, che su Archive.org ero iscritto da qualche tempo per coltivare la malsana passione di scandagliare tra documenti vetusti, libri antichi e vecchie pagine web. Ho potuto verificarlo direttamente su ‘;–have i been pwned? [3] dato che il database della violazione è stato già caricato sul sito.

Nel mio caso specifico lo user è insignificante la password è univoca, lunga e complessa, persino l’indirizzo email è solo un alias che alla peggio posso troncare. Eppure la situazione mi appare decisamente spiacevole. Da utenti possiamo mettere tutta la diligenza del caso nel costruire i nostri account, adeguarci alle regole più stringenti, attuare ogni possibile precauzione. Resta però l’altra parte dell’equazione che sta dal lato di chi quelle informazioni le dovrebbe custodire e che spesso non si dimostra all’altezza del ruolo che ricopre (stiamo parlando di Internet Archive, non del sito della bocciofila diamine!).

Un vecchio adagio dell’informatica dice: se non vuoi che diventi un leak, non salvarlo. Il problema di fondo è sempre lo stesso, la voracità di dati di chi gestisce un servizio. Informazioni spesso del tutto superflue, pretestuose, ridondanti che vengono richieste ed accumulate per prassi o per riservarsi usi futuri. Serve davvero un indirizzo email per creare un account? Ho in mente almeno un paio di alternative che eviterebbero questi scenari ma che hanno il difetto di non essere a prova di scemo e quindi vengono rigorosamente evitate. Non sia mai di responsabilizzare l’utente e renderlo consapevole del contesto.

Proprio ieri l’amministratore di un vecchio gruppo Yahoo mi ha inviato una mail. Anni fa rifiutò la mia iscrizione al gruppo per ragioni che mi sfuggono, ma da quel momento in poi avrebbe dovuto cancellare il mio indirizzo. Invece si è rifatto vivo ieri avvertendo tutti i poveri utenti rimasti impigliati nella sua rubrica della nascita di un nuovo gruppo a cui invitava ad iscriversi. Il regolamento allegato alla mail era una sintesi di protervia, incoscienza e narcisismo sia per l’arbitrarietà di ciò che imponeva sia per l’assurda quantità di dati che richiedeva agli iscritti. Per un attimo ho pensato di rispondere per le rime, poi ho optato per una reazione più sottotraccia marcando come spam il messaggio (e lasciando al mio provider il lavoro sporco).

La fame di dati è un male del nostro tempo. Difendersi è difficile, a volte impossibile. Se c’è concesso, proviamo almeno a limitare i danni [4].

~

1. Consulta l‘articolo di Bleeping Computer per i dettagli e per eventuali aggiornamenti · 2. DDSOS, Distributed Denial of Service, è una tipologia di attacco informatico che satura le risorse di un sistema fino a determinarne il collasso · 3. Consulta questa pagina · 4. Se foste nella mia stessa situazione, al momento con il sito irraggiungibile non c’è molto che possiate fare. Quando il quadro sarà più chiaro si potranno prendere eventuali misure di mitigazione. Nel frattempo si deve alzare la guardia su tutto ciò che arriva all’indirizzo compromesso, cambiarlo se usato su altri servizi rilevanti e modificare le password usate altrove se identiche a quella compromessa. Di mio penso che comunque rimuoverò l’account appena possibile.