FedEx, dati dei clienti su server senza alcuna protezione

Le scansioni di passaporti, patenti di guida e altri documenti con dati sensibili di migliaia di clienti FedEx erano pubblicamente accessibili online, forse da anni, una “svista” che potrebber avere consentito a qualunque cybercriminale di ottenere informazioni che normalmente dovrebbero rimanere riservate.

Passaporto di un cliente Fedex
[banner]…[/banner]

Passaporti, patenti di guida e altri documenti sensibili di migliaia di clienti FedEx erano pubblicamente accessibili online, forse da anni, una gaffe della società di trasporto specializzata in spedizioni espresse che potrebbe aver consentito a qualunque cybercriminale di ottenere informazioni che normalmente dovrebbero rimanere riservate.

Ricercatori esperti in sicurezza di Kromtech Security Center hanno individuato 119.000 scansioni di documenti memorizzati su server Amazon S3 ai quali era possibile accedere liberamente. Le scansioni di documenti completi di foto e dettagli quali: nome, cognome, indirizzo e numero di telefono, elementi che – almeno in teoria – avrebbero dovuto essere accessibili al solo personale autorizzato.

I ricercatori di Kromtech, scrive ArsTechnica, hanno individuato scansioni con documenti di cittadini di Messico, Canada, nazioni europee, Arabia Saudita, Kuwait, Giappone, Cina, Australia e altre ancora.

Passaporto di un cliente Fedex

I dati son stati inizialmente catalogati da Bongo International, azienda che aiutava dettaglianti e marchi statunitensi a vendere online prodotti a consumatori di altre nazioni. FedEx ha acquisito Bongo International nel 2014 cambiando poi nome dell’azienda in FedEx Cross-Border International. Il servizio è stato chiuso ad aprile dell’anno scorso. La scoperta degli identificati dei clienti e altre informazioni personali lascia immaginare che non solo queste informazioni non sono mai state adeguatamente protette ma che i funzionari di FedEx non hanno eliminato i dati con la chiusura del servizio. Kromtech ipotizza che i dati in questione siano online forse dal 2009.

In un post di Kromtech che risale a giovedì si spiega che i ricercatori hanno tentato di mettersi in contatto con FedEx mediante il servizio di assistenza clienti e via mail ma non hanno ottenuto risposte fino a martedì, dopo che Zack Whittake di ZDNet si è messo in contatto con i dirigenti di FedEx. Il “bucket” (il contenitore univoco che mette a disposizione Amazon) è stato chiuso mercoledì.

FedEx ha rilasciato una dichiarazione spiegando che i dati in questione sono parte di un servizio dismesso dopo l’acquisizione di Bongo International. Non vi sarebbero al momento indicazioni che lasciano immaginare usi impropri ma le indagini continueranno: l’assenza di prove al momento, non dimostra che nessuno ha rubati i dati. Quanto accaduto è l’ennesima dimostrazione dell’importanza di tenere al sicuro informazioni riservate. Esistono “misure minime” che qualsiasi azienda sarebbe tenuta a rispettare ma è anche necessario educare le persone facendo capire loro che la privacy è un inalienabile e supremo diritto civile.