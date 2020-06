Cybernews ha fatto una scoperta alquanto inquietante, riuscendo a scovare un bucket (ossia un contenitore dove vengono memorizzati gli oggetti) di Amazon Simple Storage Service (S3) totalmente privo di una qualsiasi protezione e contenente i dati privati di migliaia di agenti di vendita italiani per un totale che supera i 36000 documenti.

Non parliamo dei classici indirizzi mail e password, nel Bucket sono stati trovati 7515 PDF e 25895 file JPG contenenti scansioni di documenti di identità, carte di credito, tessere sanitarie e contratti includenti eventuali altre informazioni, inclusa la Partita IVA.

Il database, facilmente accessibile da chiunque avesse saputo dove guardare fino al momento della segnalazione ad Amazon che ha provveduto a metterlo in sicurezza autonomamente, sembra appartenere alla società Ariix, da poco sbarcata in Italia con Ariix Italia. Tale compagnia si occupa della vendita di prodotti per la salute e il benessere personale adottando un modello di Multi-Level Marketing. Ciò vuol dire che oltre a vendere a clienti finali, offre la possibilità ai propri acquirenti di diventare essi stessi agenti di vendita e guadagnare non solo su ogni prodotto venduto, ma anche sui prodotti venduti dagli ulteriori agenti che essi stessi saranno riusciti a procurare alla società.

È chiaro quindi che per poter effettuare operazioni del genere i partecipanti devono consegnare nelle mani di Ariix una documentazione dettagliata.

credit: cybernews

credit: cybernews credit: cybernews credit: cybernews credit: cybernews

Dalle immagini risulta chiara la vasta mole di informazioni sottratta. La natura dei data rende il fatto particolarmente preoccupante, perché chi ne entrasse in possesso (e possiamo dare per scontato che qualcuno ci è riuscito) può mettere in pratica un vero e proprio furto di identità ai danni delle vittime.

Nonostante sia stata celermente avvertita del problema di sicurezza da Cybernews il 28 maggio, Ariix non ha ancora rilasciato dichiarazioni o risposto in alcun modo. Il team di Amazon però, allertato praticamente nello stesso periodo, ha disabilitato gli accessi al Bucket non autorizzat0; operazione certamente utile, ma che probabilmente non avrà sortito alcun effetto significativo.

Quasi sicuramente l’intero database sarà online nel Dark Web da tempo. Alle persone che dovessero aver avuto rapporti con Ariix Italia negli ultimi mesi, sia che esse siano state semplici clienti, sia che siano diventate agenti di vendita, non resta che monitorare attentamente la situazione dei propri account, sporgere denuncia per evitare situazioni spiacevoli in cui poi diventerebbe un problema dimostrare di non essere coinvolti in eventuali atti illeciti, avvertire la banca e, infine, tutti i propri contatti.