Il mercato dei server, workstation e dispositivi di rete usati sembra essere uno dei fronti più deboli della cyber-sicurezza occidentale. Un grande specialista del settore, con sede in Romania, ha raccontato a Business Insider che molto spesso le aziende vendono i vecchi dispositivi senza procedere a un'accurata cancellazione dei dati.
La fonte ha spiegato che negli ultimi tre anni il suo staff ha rinvenuto il database completo del sistema olandese di assicurazione sanitaria pubblica con tanto di codici identificativi dei cittadini, indirizzi, pagamenti e storico medico. "Immaginate quale scam basata su social engineering potreste fare con questo tipo di dati", ha dichiarato l'esperto.
Che dire poi dei codici, il software e le procedure legate alla gestione di semafori e sistemi di segnalazioni ferroviari di diverse città spagnole. E ancora i dati delle carte di credito, compresi gli indirizzi e il tipo di acquisti, dei clienti di una nota catena di supermercati inglese. E dulcis in fundo, ma non si sa se funzionanti, i codici di accesso, badge, smartcard e password di un importante produttore aerospaziale europeo.
L'azienda rumena ovviamente nel tempo ha assicurato di essersi comportata correttamente. La procedura prevede l'acquisto di camion di hardware, una valutazione, cancellazione dati e vendita. Ma l'intervento sui drive dovrebbe essere solo una prassi senza particolari sorprese; invece si trasforma spesso in qualcosa di allarmante. Anche perché la maggior parte degli acquisti avviene da aziende spagnole, inglesi e dell'area Benelux.
Due specialisti indipendenti però - Nir Giller, CTO di CyberX e Andrew Tonschev, Director of Technology di Darktrace – hanno confermato a Business Insider che lo scenario svelato dalla società rumena è molto comune e riguarda l'intero settore dell'usato business.
"Anche adesso, sto lavorando sulle reti di una server farm che più o meno fino a un mese fa faceva parte di una compagnia energetica francese", ha spiegato la fonte. "Indovinate un po', i dati sono ancora lì. Proprio ora sto guardando la lista dei sensori, i loro indirizzi IP e i dati di accesso. Ovviamente sto pulendo tutto prima di mandarlo avanti, ma non sarebbero dovuti finire nelle mie mani comunque". Quando i dati risultano essere troppo critici viene contattata la società venditrice, ma nella maggior parte dei casi la reazione è di incredulità.
Un altro fronte delicato è quello al noleggio dei server. I fornitori dovrebbero cancellare ogni dato prima di un'eventuale vendita, ma questo spesso non succede. Ad ogni modo è evidente che molte aziende non si rivolgono a società specializzate e non impiegano processi adeguati per fare "pulizia". Prendono i vecchi server, cancellano i dati sommariamente, li staccano e li vendono.
"L'Occidente sta fallendo a livello istituzionale per mantenere i propri dati critici al sicuro," sostiene la fonte "Non c'è bisogno di storie di hacking degne di CSI, solo una carta di credito per acquistare l'hardware usato - le probabilità sono che i dati saranno ancora lì, anche se qualcuno li ha contrassegnati come già cancellati".
