NEWS

Panama, online senza alcuna protezione i dati personali di 3,4 milioni di cittadini

Un server connesso a internet contenente quelle che sembrano informazioni personali riguardanti l'85% del totale dei circa 4 milioni di cittadini di Panama è stato trovato senza alcuna protezione di password o firewall.  A fare la scoperta nei giorni scorsi è stato il ricercatore Bob Diachenko, esperto di sicurezza informatica e fondatore di Security Discovery.


Nel server "Elasticsearch", una tecnologia utilizzata per alimentare i sistemi di ricerca rapida, sono stati "pescati" ben 3.427.396 record etichettati come "dati paziente", ed essendo stati questi ritenuti validi da Diachenko, egli ha provveduto ad informare il Computer Emergency Response Team (CERT) di Panama, e nelle successive 48 ore il database è stato messo in protezione.

Secondo l'analisi di Diachenko, anche se non vi era alcuna indicazione che il database memorizzasse i dettagli delle cartelle cliniche dei pazienti, le loro condizioni di salute del passato, o le terapie ed i trattamenti effettuati, nel server c'erano comunque informazioni appetibili per i truffatori online come nominativi, indirizzi di casa, numeri di telefono, indirizzi e-mail, numeri di identificazione nazionali, date di nascita, numeri di assicurazione medica ed altro, anche se fortunatamente pare non vi fossero dati relativi a carte di credito o altre informazioni finanziarie.

Al momento è un mistero su chi sia il proprietario del server, tuttavia, sia che si tratti di una società privata o di un ente pubblico, da quanto affermato da Diachenko sembra evidente che il gestore non avesse adottato buone pratiche per la sicurezza dei dati.

Peraltro, lo stesso indirizzo IP in cui è ospitato il cluster Elasticsearch ha esposto anche l'interfaccia del Remote Desktop Protocol (RDP) in Internet senza firewall, consentendo a chiunque di lanciare attacchi "brute-force" con il rischio di compromettere l'intera rete aziendale.

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.it 

Prev Usa: Baltimora ancora sotto cyber sequestro, documenti riservati pubblicati su Twitter
Next Russia: Data Breach, diffusi online i dati di 360mila passaporti

Domenico Laforenza, presidente del CNR di Pisa, al 7° Privacy Day Forum

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo