Tante volte ci siamo trovati qui a segnalarvi casi di gestioni scellerate della sicurezza, invitandovi a proteggere i vostri dati e i vostri account nel migliore dei modi, utilizzando antivirus e password adeguate. Ma cosa succede quando la sicurezza online viene sottovalutata da un’azienda importante?
Justin Shafer, esperto di sicurezza, è stato svegliato all’alba da una squadra di agenti dell’FBI che hanno fatto irruzione in casa sua, sottoponendolo ad arresto, mentre la moglie e i suoi tre bambini erano ancora a letto. Come se non bastasse, i suoi PC sono stati sequestrati: l’unica colpa del malcapitato? Aver trovato e segnalato una vulnerabilità nella banca dati di un’azienda del settore dentistico.
Eaglesoft, la compagnia che gestisce il database, caricava le informazioni su server FTP facilmente accessibili da chiunque, mettendo a rischio la privacy di 22.000 pazienti i cui dati sono gestiti con il software sviluppato dall’azienda. Shafer ha quindi segnalato il problema ai produttori e a databreaches.net, sito che si occupa di mettere in risalto le storie in cui la sicurezza viene sottovalutata. Infine ha pubblicato un post sul suo blog, parlando aspramente del fatto, azione che ha fatto scattare la denuncia, con l’accusa di aver investigato troppo nei dati a cui ha avuto accesso.
Chicca finale: gli amministratori di Eaglesoft avevano impostato nome utente e password di default per il database SQL, ovvero “dba” e “sql”, attive dal 2014. Forse chi ha denunciato è proprio colui che dovrebbe stare sul banco degli imputati!
