Le forze dell’ordine americane hanno iniziato a collaborare con SpyCloud, un’azienda che ottiene e rivende i dati rubati dagli hacker durante i data breach. Parliamo di IP, email e password che le autorità sperano di poter usare nelle loro indagini, ma che appartengono soprattutto a persone innocenti.
Normalmente le informazioni contenuti negli enormi archivi creati data breach dopo data breach erano di esclusivo appannaggio della criminalità. Esiste un vero mercato nero, e in genere le informazioni rubate —tanto sono vasti questi dataset— vengono vendute a pochi centesimi per singolo record. Chi le compra spera di poterle usare per organizzare enormi campagne di phishing o per altri tipi d’attacco.
Ora, rivela un’inchiesta di VICE, tra gli acquirenti dei dataset ci sono anche le stesse forze dell’ordine. Il magazine ha messo le mani su una slide che viene usata da SpyCloud — un’azienda che ha iniziato a smerciare i dati rubati a partner istituzionali.
Ritorciamo i dati dei criminali contro di loro, o quantomeno, diamo gli strumenti alle forze dell’ordine per farlo
ha detto un portavoce dell’azienda a VICE, confermando l’autenticità del materiale esaminato magazine.
Il fatto è che stiamo parlando di dataset che includono migliaia di persone incensurate. Ci sono davvero pochi modi per giustificare questa pratica sotto un’ottica del rispetto della privacy.
Se le forze dell’ordine vogliono ottenere informazioni sull’attività associata ad uno specifico account —negli USA, ma funziona così in tutto il mondo libero—, devono necessariamente seguire un iter estremamente specifico. Non si possono ottenere indiscriminatamente informazioni su migliaia di persone, la richiesta viene autorizzata da un giudice e deve esserci una giustificazione cogente.
Esistono delle buone ragioni se imponiamo questi limiti alle forze dell’ordine. Sebbene la pretesa di investigare sui criminali possa indurre a chiudere un occhio sui data breach, in realtà è particolarmente inquietante che le forze dell’ordine stiano usando i soldi dei contribuenti per capitalizzare su dei furti di dati che, dopo tutto, hanno già prodotto delle vittima, ossia le persone finite in quei dataset.
ha detto Riana Pfefferkorn, che si occupa di sorveglianza per lo Stanford Center for Internet and Society.
SpyCloud si posiziona principalmente come una versione premium di Have I been Pwned: aiuta le vittime di furto dei dati a difendere i loro account, utilizzando anche software normalmente impiegati nelle indagini forensi, come Maltengo, per avere una visione più completa delle violazioni subite.
Quelli che abbiamo sono dati già nelle mani dei criminali, per questo tendiamo a considerarli informazioni pubbliche.
si difende SpyCloud. In realtà, spiega VICE, non tutti i dataset hanno la stessa facilità d’accesso. Per quanto moltissimi archivi siano facilmente ottenibili da tutti —al punto che basta inserire il proprio indirizzo email in un sito come Have I been Pwned per vedere se le nostre credenziali sono compromesse—, moltissimi dataset sono pressoché irraggiungibili se non si hanno le giuste conoscenze.
SpyCloud ha già lavorato, e continua a lavorare, con diverse agenzie federali statunitensi. In almeno un caso i suoi servizi sono stati usati direttamente dal Dipartimento di Giustizia e, quindi, dall’FBI. Anche la National Child Protection Task Force ha ammesso di aver fatto ricorso di dati rubati in qualche occasione.