Il 2023 anno record per i furti di dati personali dal cloud. E la strada per difendersi è una sola

Alla fine del 2022, uno studio condotto dal professor Stuart Madnick dell’MIT per conto di Apple, aveva illustrato la “crescita delle minacce ai dati degli utenti nel cloud”. Il quadro che usciva del report era preoccupante: furti di dati in costante aumento, informazioni private sottratte dal cloud di centinaia di aziende, attacchi ransomware fuori controllo.

Apple ha commissionato lo stesso studio a Madnick per il 2023 e lo ha pubblicato (qui) a un anno di distanza dal precedente. I risultati si possono riassumere così: è andata ancora peggio.

Biennius Horribilis

I numeri dello studio parlano chiaro: il 2022-2023 è stato un biennius horribilis, per coniare un neologismo che ben si adatta alla situazione. Nel corso dei primi 9 mesi del 2023, i furti di dati dal cloud, nei soli Stati Uniti, sono aumentati del 20% rispetto a tutto il 2022. A livello globale gli utenti che hanno subìto la sottrazione di dati privati sono stati più di 360 milioni. Crescita fuori controllo anche per gli attacchi ransomware, che nel corso dell’anno hanno bloccato intere aziende e messo in ginocchio le operazioni di istituzioni pubbliche di mezzo mondo, Italia compresa. Secondo lo studio gli attacchi di questo tipo sono aumentati del 70% nel corso primi 3 trimestri del 2023 rispetto allo stesso periodo del 2022.

L’attacco più recente riguarda 23andMe, nota azienda di analisi genetiche e ricerche genealogiche: nel mese di ottobre i cybercriminali hanno avuto accesso, secondo le stime più attendibili, a circa 300 TB di dati personali dei clienti. A settembre era stato il turno di MGM Resorts, la multinazionale del settore alberghiero: un attacco ransomware aveva bloccato per giorni le operazioni dell’azienda. Sono solo due delle centinaia di casi riportati, principalmente in USA, Canada, Regno Unito e Australia, ma anche nel Vecchio continente. Fra i casi più eclatanti in Europa ci sono stati il furto di 17 milioni di dati da FlyingBlue, la piattaforma del programma fedeltà di KLM-AirFrance, il mezzo TB di dati privati sottratti dai server della città di Anversa o i 24,5 milioni di di file con dati dei clienti rubati a Motel One Group.

I criminali trovano la porta aperta

La crescente digitalizzazione delle nostre vite va di pari passo con la quantità di dati che riversiamo sul cloud e affidiamo ai server delle aziende. Non sorprende che i cybercriminali investano in attacchi sempre più raffinati e complessi per accedere a questa immensa riserva di informazioni utili da rivendere o utilizzare per condurre nuovi attacchi mirati. Ma non è l’unico rischio: un buon numero di fughe di dati si può ricondurre direttamente all’incapacità delle aziende nella configurazione della sicurezza dei loro sistemi cloud.

A maggio 2023, Toyota ha rivelato che, per circa un decennio, la configurazione errata di un database aveva reso accessibili i dati privati di 2,15 milioni di utenti del servizio ToyotaConnected, inclusi numeri di targa, dati di localizzazione del veicolo e filmati registrati dalle telecamere di bordo delle auto. Anche Microsoft, a settembre 2023, ha dovuto mettere una pezza alla configurazione errata che aveva reso potenzialmente accessibili più di 38 TB di dati dei dipendenti dell’azienda.

Crittografia end-to-end

Come ci si difende, dunque, da attacchi al cloud che non riguardano tanto i nostri account personali quanto le aziende cui affidiamo i nostri dati in cambio di servizi sempre più integrati nelle nostre vite?

Aspirare a una sicurezza totale dei dati, secondo il report, non è una strada realistica. L’unica soluzione è una diffusione sempre maggiore della crittografia end-to-end: “Gli attacchi informatici hanno dimostrato che le organizzazioni sono sicure solo quanto il loro anello meno sicuro. In questo panorama, nessuna organizzazione e, di conseguenza, nessun individuo è al sicuro da una violazione dei dati – si legge nello studio – Per questo motivo, nell’ultimo anno, le piattaforme tecnologiche e gli altri operatori del settore hanno ampliato l’uso della crittografia end-to-end, un metodo per proteggere i dati o le comunicazioni criptandoli e rendendoli indecifrabili, così che non possano essere letti da terzi”.

La crittografia end-to-end, come suggerisce il nome, prevede che la cifratura e decifratura dei dati possa avvenire solo alle due estremità della comunicazione: sui dispositivi degli utenti. Così in un sistema di messaggistica end-to-end i messaggi potranno essere letti solo da chi invia o riceve il messaggio e nessun altro. Allo stesso modo, cifrare end-to-end i dati privati di un’app e salvati sul cloud impedisce a chiunque altro di decrittarli, a meno che non abbia accesso all’account privato o alle chiavi contenute sul dispositivo dell’utente finale.

Un problema di business model

Non a caso molte aziende tech stanno estendendo la crittografia end-to-end a un numero sempre maggiore di servizi. È di questi giorni l’annuncio dell’introduzione del sistema anche su Messenger, app di messaggistica usata da centinaia e centinaia di milioni di utenti e finora rimasta sempre scoperta.

Non è un caso neppure che sia Apple a promuovere uno studio come questo e a farsi alfiere della crittografia end-to-end commerciale: criptare i dati degli utenti sui server aziendali li protegge non soltanto da potenziali cybercriminali ma anche dagli occhi indiscreti dell’azienda stessa, che non può in alcun modo usarli a fini di profilazione. Per aziende che derivano il fatturato sulla pubblicità e sull’analisi dei dati raccolti da servizi prevalentemente gratuiti (come Meta e Google) non poter accedere ai dati degli utenti è un problema che intacca direttamente il business model dell’organizzazione.

Per aziende i cui fondamentali invece non dipendono direttamente dalla profilazione o dalla tratta dei dati, come Apple, è invece più semplice proporre soluzioni di sicurezza avanzata: nel caso di iCloud, i dati di 16 categorie (inclusi i messaggi e i dati sanitari dell’app Salute) sono crittografati end-to-end. Volendo è possibile attivare la cosiddetta Protezione dei Dati Avanzati per estendere la crittografia anche a ulteriori 7 categorie, inclusi i backup iCloud, Foto e Note. In quel caso è però meglio fare attenzione: se l’utente dovesse perdere le chiavi di recupero dei dati crittografati, Apple non potrà in alcun modo offrire il recupero delle informazioni salvate sui suoi server.

Fonte : Repubblica