Le violazioni dei dati sono diventate comuni e miliardi di dati vengono rubati in tutto il mondo ogni anno. La maggior parte della copertura mediatica delle violazioni dei dati tende a concentrarsi su come si è verificata la violazione, quanti record sono stati rubati e l’impatto finanziario e legale dell’incidente per le organizzazioni e le persone colpite dalla violazione. Ma cosa succede ai dati rubati durante questi incidenti?
In qualità di ricercatore in materia di sicurezza informatica, tengo traccia delle violazioni dei dati e del mercato nero dei dati rubati. La destinazione dei dati rubati dipende da chi c’è dietro una violazione dei dati e dal motivo per cui hanno rubato un certo tipo di dati. Ad esempio, quando i ladri di dati sono motivati a mettere in imbarazzo una persona o un’organizzazione, esporre la percezione di illeciti o migliorare la sicurezza informatica, tendono a rilasciare dati rilevanti nel pubblico dominio.
Nel 2014, gli hacker sostenuti dalla Corea del Nord hanno rubato i dati dei dipendenti di Sony Pictures Entertainment come i numeri di previdenza sociale, i registri finanziari e le informazioni sugli stipendi, nonché le e-mail tra i dirigenti. Gli hacker hanno quindi pubblicato le e-mail per mettere in imbarazzo la compagnia, forse come punizione per aver pubblicato una commedia su un complotto per assassinare il leader della Corea del Nord, Kim Jong Un.
A volte, quando i dati vengono rubati dai governi nazionali, non vengono divulgati o venduti. Invece, sono utilizzati per lo spionaggio. Ad esempio, la società alberghiera Marriott è stata vittima di una violazione dei dati nel 2018 in cui sono state rubate informazioni personali su 500 milioni di ospiti. I principali sospettati di questo incidente erano gli hacker sostenuti dal governo cinese. Una teoria è che il governo cinese abbia rubato questi dati come parte di uno sforzo di raccolta di informazioni per raccogliere informazioni sui funzionari del governo degli Stati Uniti e sui dirigenti aziendali.
Ma la maggior parte degli hack sembra riguardare la vendita di dati per fare soldi.
Riguarda (principalmente) i soldi
Sebbene le violazioni dei dati possano essere una minaccia per la sicurezza nazionale, l’86% riguarda il denaro e il 55% è commesso da gruppi criminali organizzati, secondo il rapporto annuale di Verizon sulla violazione dei dati. I dati rubati spesso finiscono per essere venduti online sul dark web. Ad esempio, nel 2018 gli hacker hanno offerto in vendita più di 200 milioni di record contenenti informazioni personali di individui cinesi. Ciò includeva informazioni su 130 milioni di clienti della catena alberghiera cinese Huazhu Hotels Group.
Allo stesso modo, i dati rubati da Target, Sally Beauty, PF Chang, Harbor Freight e Home Depot sono apparsi su un noto sito del mercato nero online chiamato Rescator. Mentre è facile trovare marketplace come Rescator attraverso una semplice ricerca su Google, altri marketplace sul dark web possono essere trovati solo utilizzando browser web speciali.
Gli acquirenti possono acquistare i dati a cui sono interessati. Il modo più comune per pagare la transazione è con bitcoin o tramite Western Union. I prezzi dipendono dal tipo di dati, dalla sua domanda e dalla sua offerta. Ad esempio, una grande eccedenza di informazioni di identificazione personale rubate ha fatto scendere il suo prezzo da $4 per le informazioni su una persona nel 2014 a $1 nel 2015. I dump di e-mail contenenti da centomila a un paio di milioni di indirizzi e-mail vengono venduti per $10 e le banche dati degli elettori di vari stati si vendono per $100.
Dove finiscono i dati rubati
Gli acquirenti utilizzano i dati rubati in diversi modi. I numeri di carta di credito e i codici di sicurezza possono essere utilizzati per creare carte clone per effettuare transazioni fraudolente. I numeri di previdenza sociale, gli indirizzi di casa, i nomi completi, le date di nascita e altre informazioni di identificazione personale possono essere utilizzati nel furto di identità. Ad esempio, l’acquirente può richiedere prestiti o carte di credito a nome della vittima e presentare dichiarazioni fiscali fraudolente.
A volte le informazioni personali rubate vengono acquistate da società di marketing o società specializzate in campagne di spam. Gli acquirenti possono anche utilizzare le e-mail rubate per phishing e altri attacchi di ingegneria sociale e per distribuire malware.
Gli hacker hanno preso di mira informazioni personali e dati finanziari per molto tempo perché sono facili da vendere. I dati sanitari sono diventati una grande attrazione per i ladri di dati negli ultimi anni. In alcuni casi la motivazione è l’estorsione.
Un buon esempio è il furto di dati dei pazienti da parte della ditta finlandese di psicoterapia Vastaamo. Gli hacker hanno utilizzato le informazioni che hanno rubato per chiedere un riscatto non solo a Vastaamo, ma anche ai suoi pazienti. Hanno inviato un’e-mail ai pazienti con la minaccia di esporre i loro record di salute mentale a meno che le vittime non pagassero un riscatto di 200 euro in bitcoin. Almeno 300 di questi documenti rubati sono stati pubblicati online, secondo un rapporto dell’Associated Press.
I dati rubati, inclusi diplomi medici, licenze mediche e documenti assicurativi, possono essere utilizzati anche per forgiare un background medico.
Come sapere e cosa fare
Cosa puoi fare per ridurre al minimo il rischio di furto di dati? Il primo passo è scoprire se le tue informazioni vengono vendute sul dark web. Puoi utilizzare siti Web come haveibeenpwned e IntelligenceX per vedere se la tua e-mail fa parte di dati rubati. È anche una buona idea iscriversi ai servizi di protezione dal furto di identità.
Se sei stato vittima di una violazione dei dati, puoi adottare queste misure per ridurre al minimo l’impatto: Informare le agenzie di segnalazione del credito e altre organizzazioni che raccolgono dati su di te, come il tuo fornitore di assistenza sanitaria, compagnia di assicurazioni, banche e società di carte di credito, e cambia le password per i tuoi account.
Autore
Ravi Sen, Associate Professor of Information and Operations Management, Texas A&M University
