Aziende e cybercriminali possono trarre profitto dalla vendita dei dati personali a terze parti, ma quanto valgono esattamente, e come proteggerli?

Dati personali: gli italiani pagherebbero per avere più privacy

Secondo una recente indagine, se quasi il 60% delle persone sono consapevoli del fatto che le aziende possano cercare di trarre profitto dalla vendita dei dati personali a terze parti, il 50% di loro non è al corrente di quanto possano valere per le aziende e per i cybercriminali. Il loro approccio alla sicurezza informatica può quindi essere discontinuo, rendendo la vita facile ai criminali digitali quando si tratta di rubare dati o di commettere reati.

Il fatto è che i dati, anche quelli che la maggior parte delle persone potrebbero considerare come poco importanti, vengono sistematicamente rubati e venduti nel Dark Web. Un esempio: il prezzo delle cartelle cliniche rubate, vendute ad una cifra compresa tra i 70 e i 100 dollari ciascuna nel 2016, ora è diminuito, semplicemente perché ce ne sono moltissime in circolazione.

I ricercatori hanno inoltre scoperto che i cybercriminali possono svendere la vita digitale di qualcuno nella sua interezza per meno di 50 dollari: sono compresi dati rubati dagli account social media, dettagli di carattere bancario e finanziario, codici di accesso da remoto per server o desktop, dati legati a popolari servizi online – come Uber, Netflix o Spotify – oltre a informazioni per i siti web di gaming, per le app di dating online o per i siti pornografici, che potrebbero avere nei loro archivi informazioni sulle carte di credito. Nello stesso tempo, i ricercatori hanno scoperto che il prezzo di un singolo account hackerato è diminuito: la maggior parte dei criminali propongono un prezzo di vendita inferiore ad un dollaro per ciascun account e offrono degli sconti in caso di acquisti all’ingrosso.

David Jacoby, Senior Security Researcher di Kaspersky Lab, ha scritto all’interno della sua ricerca: “Può sembrare quasi incredibile, ma in sostanza si può vendere tutta la vita digitale di qualcuno per meno di 50 dollari. La maggior parte delle persone con un’età compresa tra i 15 e i 35 anni, hanno sottoscritto più di 20 diversi servizi online, magari usandone soltanto una decina in modo regolare, rendendo così la vita facile agli hacker che possono agire e guadagnare senza essere notati.”

Il modo più semplice attraverso il quale i cybercriminali rubano questo tipo di dati è, in primo luogo, attraverso delle campagne di spear phishing, oppure sfruttando una vulnerabilità legata alla sicurezza nel software di un’applicazione. Dopo un attacco andato a buon fine, i cybercriminali possono arrivare a ottenere dei dump di password, che contengono combinazioni di password e email per i servizi compromessi. Con molte persone che usano la stessa password per diversi account, gli attaccanti potrebbero essere in grado di sfruttare queste informazioni anche per accedere ad account di altre piattaforme.

Altra cosa interessante: alcuni criminali che si occupano della vendita dei dati personali forniscono ai loro acquirenti anche delle garanzie a vita: nel caso in cui un account smetta di funzionare, il compratore riceverà un nuovo account gratuitamente.

Dati rubati: valore e versatilità

I dati rubati possono avere un limitato valore in caso di rivendita, ma rivelarsi comunque preziosi perché possono venire utilizzati in tanti altri modi. Questo potrebbe causare problemi enormi ad una singola vittima, dal momento che potrebbe perdere dei soldi o anche vedere la propria reputazione messa in pericolo: una vittima può ritrovarsi sulle spalle il debito che qualcuno ha accumulato a suo nome o anche essere sospettata per un crimine che qualcun altro ha commesso, utilizzando la sua identità come copertura. Alla fine, le vittime potranno spendere molto tempo nel mettere di nuovo al sicuro i propri account. Ma potrebbero esserci anche effetti più estesi per un furto di dati. Dal momento che i cybercriminali tendono a lavorare in gruppo, i soldi guadagnati dalla vendita di dati digitali potrebbero essere usati per l’acquisto di droga, di armi o per altre forme di criminalità organizzata. Le identità rubate possono essere usate per creare passaporti falsi per il traffico di esseri umani o per commettere molti altri tipi di crimine.

Tutti noi abbiamo il dovere di agire. È chiaro che l’hackeraggio dei dati sia una grave minaccia per noi, una minaccia che può colpire sia a livello individuale, sia a livello sociale, dal momento che il furto dei dati può finanziare vari mali all’interno della società. Per fortuna ci sono delle pratiche che possiamo mettere in atto per prevenirli, come l’uso di software di cybersicurezza e la consapevolezza rispetto alla gran quantità di dati che rilasciamo gratuitamente, nei profili disponibili in modo pubblico sui social media o verso le organizzazioni.

David Jacoby ha aggiunto: “I furti di dati e di identità sono eventi molto comuni; se non ci si protegge adeguatamente, è altamente probabile che si diventi una vittima. I cybercriminali non colpiscono solo le grandi aziende o i personaggi famosi, i dati di tutti hanno un valore economico e possono essere venduti. Ciò che è ancora peggio, il mercato dei dati digitali rubati può rivelarsi come fonte di finanziamento anche per crimini molto seri. Tutti noi abbiamo il dovere di proteggerci, di fermare questa forma di crimine pericolosa e invalidante. Per fortuna, ci sono passi che possiamo fare per prevenirla, come usare delle soluzioni per la sicurezza informatica o essere più attenti rispetto ai dati che rilasciamo gratuitamente, soprattutto sui profili dei social media con accesso pubblico o alle varie organizzazioni.”

Le persone possono evitare questo tipo di rischi, mettendo in atto varie pratiche di sicurezza, che dovrebbero diventare parte integrante della vita digitale di ogni utente della rete:

  • Per essere al sicuro dal phishing, prima di cliccare su qualunque cosa, è importante controllare sempre l’attendibilità di un link o del mittente di una email. Una robusta soluzione di sicurezza potrà anche essere utile nel mettere in guardia un utente in caso di visita di una pagina web di phishing.
  • Per evitare che una perdita di dati metta in pericolo tutte le identità digitali di un utente, è fondamentale non usare mai la stessa password per siti o servizi online diversi. Per creare password forti e a prova di hacker, eliminando anche il problema di doverle ricordare ogni volta a memoria, è buona norma usare delle applicazioni create appositamente per la gestione delle password.
  • Per scoprire chi è in possesso dei nostri dati personali, è possibile usare dei servizi come PrivacyAudit.me che cerca in modo automatico i dati di un utente all’interno di una gran quantità di fonti online (la versione Beta è disponibile ora in UK, è prevista la sua diffusione anche in altri paesi nel 2019).