Il gruppo privato Dialog, cofondato dal miliardario Peter Thiel, ha subito un grave incidente di sicurezza che ha esposto i dati personali di oltre cento ex partecipanti e di alcuni iscritti al ritiro estivo di agosto. A differenza di quanto dichiarato dall'organizzazione, secondo una ricostruzione indipendente non si è trattato di un attacco hacker mirato, ma di un errore di configurazione del sito web che ha reso i dati accessibili a chiunque inserisse un indirizzo email.
Un sito per il download dell'app ha aperto le porte ai dati sensibili
Dialog ha allestito un sito web per distribuire l'app del ritiro annuale a Dublino. Il sito permetteva a qualsiasi visitatore di registrarsi con un indirizzo email senza richiedere una password. Dopo l'invio, l'utente veniva reindirizzato a una pagina quasi vuota, ma il caricamento della pagina includeva file interni contenenti i dati di circa 200 persone. Per visualizzarli bastava ispezionare la pagina con gli strumenti integrati in qualsiasi browser moderno.
Sponsored Protocol
Tra i dati esposti figurano nomi, recapiti privati, token di login attivi, e persino le valutazioni interne che Dialog assegna ai partecipanti basate su ricchezza e influenza. Il gruppo ha confermato la compromissione dei nomi di 113 ex partecipanti, tra cui un comandante NATO in carica, due senatori statunitensi e il segretario al Tesoro degli Stati Uniti. Inoltre, sono state esposte le informazioni di alcuni iscritti al ritiro di agosto, con dati completi come date di nascita, contatti di emergenza e numeri di cellulare.
Il ruolo dei servizi di terze parti nella fuga di dati
I record includevano anche link a questionari compilati tramite Fillout, un servizio che Dialog utilizzava per raccogliere dati e archiviarli in Airtable. Caricando uno di questi moduli si ottenevano informazioni ancora più dettagliate, come le inclinazioni politiche assegnate ai membri, le classifiche interne e le chiavi digitali di accesso. Fillout ha dichiarato a WIRED di non essere a conoscenza di alcuna compromissione dei propri sistemi, sottolineando che i clienti configurano autonomamente i propri moduli e le origini dati.
Sponsored Protocol
Le reazioni degli esperti: negligenza, non hacking
Nicholas Weaver, membro del team di sicurezza informatica dell'International Computer Science Institute, ha definito l'incidente un errore di progettazione web, non un'intrusione sofisticata. Aaron Mackey, direttore legale aggiunto dell'Electronic Frontier Foundation, ha definito “inverosimile” la caratterizzazione dell'accaduto come criminale. Secondo Mackey, l'attività si è limitata a seguire un link su un sito web, senza violare alcuna barriera tecnica.
Dialog, tramite un legale, ha inviato una lettera a WIRED chiedendo la restituzione dei dati e definendo l'incidente un “cyberattacco” da parte di un “noto criminale informatico”. Tuttavia, ricerche indipendenti della giornalista e ricercatrice svizzera maia arson crimew hanno dimostrato che non è stato necessario sfruttare alcuna vulnerabilità software: i dati erano semplicemente visibili a chiunque visitasse il sito.
Sponsored Protocol
Le implicazioni per la privacy e la sicurezza
L'episodio solleva interrogativi sulla gestione dei dati sensibili da parte di organizzazioni esclusive. Mentre Dialog sostiene di aver agito per “cautela” e di aver chiuso molti dei suoi sistemi, la comunità della sicurezza informatica sottolinea l'importanza di configurazioni corrette per evitare esposizioni involontarie. Incidenti simili, come il recente attacco hacker a Tata Electronics che ha portato alla pubblicazione di documenti Apple e Tesla, dimostrano come le vulnerabilità possano avere conseguenze devastanti. Per approfondire le dinamiche degli attacchi informatici, si può consultare Wikipedia sulla sicurezza informatica.
Fonte: https://www.wired.com/story/dialog-hack-website-misconfiguration
