Data breach e dati personali sensibili... Esiste qualcosa di peggio? Si, esiste!

Sommario:
I DATA BREACH E I DATI PARTICOLARI
I DATI CHE NON VORREMMO MAI CONDIVIDERE
IL RASOIO DEI PUDENDA
I PUDENDA E IL CASO STIIIZY
GITA IN MACCHINA CON ARRESTO
NON È UN PROBLEMA MIO
SOPRAVVIVERE
COROLLARIO: QUANTO SIAMO STUPIDI
I DATA BREACH E I DATI PARTICOLARI
I data breach non sono tutti uguali.
A volte la compromissione della riservatezza coinvolge dati cifrati, a volte i dati sono pseudonimizzati, altre volte i dati sono, a prima vista, talmente comuni e innocui da non suscitare grande scalpore. Sono casi piuttosto frequenti ai quali siamo tutti abbastanza assuefatti. Quando accadono, si sentono commenti del tipo “ma tanto Facebook sa già tutte queste cose”, pareri espressi da persone con poca fantasia, poca esperienza o che non vedono le implicazioni perché non sono abbastanza brave a torturare i dati…. In effetti, se li sai torturare a modino, anche i dati più banali diventano molto interessanti e ti possono dire cose invisibili relative alla persona alla quale si riferiscono.
Questa pensata non è mia, magari lo fosse. Nel ’54 Darrell Huff disse: "If you torture the data long enough, it will confess to anything." (da 'How to Lie With Statistics')
Libera traduzione: Se torturi i dati abbastanza a lungo, confesseranno qualsiasi cosa.
C'è di peggio.
Oltre a questi data breach ci sono anche quelli bruttini, quelli che finiscono per fare molto male e a molte persone. Sono sempre più frequenti, anche perché sono ben più remunerativi per i criminali informatici che li sfruttano e non occorre troppa fantasia o ne vanno torturati: a volte i dati sono talmente sprovveduti da confessare anche le cose più personali, subito e a chiunque. Sono i dati sensibili che, oggi, chiamiamo dati particolari.
In che modo può essere particolare un dato?
Semplice, lo è quando rivela uno dei classici sei argomenti tabù oppure uno dei due nuovi scenari*:
- l'origine razziale o etnica,
- le opinioni politiche,
- le convinzioni religiose o filosofiche,
- l'appartenenza sindacale,
- dati relativi alla salute
- dati relativi alla vita sessuale o all'orientamento sessuale della persona,
- i dati genetici*,
- i dati biometrici* intesi a identificare in modo univoco una persona fisica.
Se in un data breach trovo dati che localizzano una determinata persona nello studio di uno medico specializzato nella cura di una certa malattia, se trovo una prescrizione medica o i referti di un test diagnostico, se recupero la transazione dell’acquisto di un certo medicinale... in tutti questi casi mi verrà rivelato lo stato di salute in modo esplicito, senza bisogno di fantasia o di particolari elucubrazioni. Una deduzione alla portata di chiunque.
Come recentemente accaduto in occasione dei grandi data breach in ambito sanitario, si tratta di una tragedia per le persone coinvolte perché vengono diffuse al mondo intero informazioni riservate che, sino al giorno prima, erano protette, accessibili unicamente a pochissime persone e solo per ragioni lecite, come nel caso del personale sanitario coinvolto nell'erogazione delle cure.
Questa tipologia di data breach è grave e coinvolge, quindi, dati che hanno un ambito di conoscibilità molto limitato e che, da un giorno all’altro, diventano di pubblico dominio.
C'è di peggio?
I DATI CHE NON VORREMMO MAI CONDIVIDERE
Sembra impossibile ma sì, c’è di peggio.
Alcuni data breach riguardano dati che non dovrebbero nemmeno esistere, informazioni che dovrebbe conoscere solo la persona direttamente interessata, dati che non ci sogneremmo mai di archiviare e di rendere pubblicamente disponibili… e non è detto che questi dati siano qualificati come particolari, potrebbero persino non essere inclusi nella lista dei dati sensibili come definita dalla legge… a volte la lettera scarlatta riguarda fatti o informazioni apparentemente di poco conto. Tutto è complicato da quanto pesino quegli stessi dati per una certa persona, nel suo piccolo mondo, nel suo contesto, nella sua vita. Difficile giudicare dall'esterno perché, di fatto, non sappiamo proprio niente della vita degli altri. Peraltro, il concetto di legale/illegale non è affatto rilevante e non influenza ciò che genera in noi vergogna o riprovazione sociale. Nel proprio microcosmo esistono altre categorie della vergogna oltre alla legge: la morale, per esempio.
Con animo semiserio, chiamo questi dati “pudenda”. Che il GDPR e gli amici DPO possano perdonarmi per questa sacrilega invenzione!
Sono dati personali? Si, certamente.
Sono dati sensibili? Non necessariamente ma frequentemente si.
Sono peggiori degli altri? Si, decisamente.
Se maltrattati, che conseguenze possono esserci? La vergona, quella vera, che non ti fa uscire di casa per settimane, che ti fa abbassare lo sguardo incrociando quello di amici e parenti, che ti fa passare il sorriso e la voglia di andare a scuola / al lavoro / in palestra. Una vergogna irrazionale, che ingrigisce tutti i pensieri e suggerisce a bassa voce false soluzioni come cambiare cerchia, amici, vita, città, lavoro, pianeta. Alcune persone sono talmente travolte da pensare di porre fine alla propria esistenza terrena. Certe addirittura lo fanno.
IL RASOIO DEI PUDENDA
Personalmente faccio questo test per capire se un dato appartiene a questa mia categoria immaginaria: una semplice verifica che, nella maggior parte dei casi, mi permette di capire se sono in presenza di "pudenda", una sola domanda:
Immagina di avere 16 anni, faresti questa cosa… |
…silenzio assordante…
…sensazione di acufene…
…buio.
I PUDENDA E IL CASO STIIIZY
I “pudenda” costituiscono il grosso dei dati contenuti in un recentissimo e sciagurato data breach, segnalato con la consueta precisione e tempestività da Ransomfeed. (https://ransomfeed.it/). Qui ogni dettaglio: https://ransomfeed.it/index.php?page=post_details&id_post=18932 .
I dati non sono tutti online ma stanno arrivando: la banda criminale sta progressivamente rilasciando i materiali rubati con lo scopo di ottenere l’attenzione dall’azienda coinvolta e negoziare il quantum del ricatto (estorsione). Bastardi!
Temo che l’azienda non sia particolarmente impensierita dal furto e ciò spesso indica che l’evento non ha causato interruzioni o blocchi nell’attività, magari grazie a un backup serio o ad un piano di continuità efficiente. Ma i dati sono compromessi, rubati, copiati, duplicati altrove.
Ai criminali non importa nulla.
All'azienda non importa nulla.
Le persone coinvolte sono terrorizzate.
Chissà perché sento l’eco delle dichiarazioni copia-incolla che si odono ad ogni data breach che travolge le pubbliche amministrazioni italiane: “nessun dato è andato perduto…”. Un giochino basato sull’ambiguità di un termine che ha differenti implicazioni se riferito al mondo analogico (rubare una biciclette = non c'è più) o digitale (rubare un archivio = me lo hanno copiato), un ingenuo tentativo per far credere che tutto vada bene mentre, al contrario, tutto è andato in rovina. Ma questa è un’altra storia.
Tornando ai “pudenda”, sono tanti, riguardano molte persone, sono dati rubati, sono stati pubblicati… è già una tragedia e nel prossimo futuro andrà ancora peggio.
Il breach di stiiizy (azienda californiana) riguarda una serie di negozi e shop online dedicati al commercio di cannabis e prodotti derivati: schede cliente, anagrafica completa, copia dei documenti di identità e patenti, storico degli acquisti effettuati e altre informazioni tipiche di ogni shop online. L’unica differenza sta nel fatto che non riguarda un ferramenta o un negozio di cravatte, bensì un negozio di cannabinoidi.
La droga, signora mia!
Pudenda, appunto.
A prescindere dagli acquisti di cannabis per usi terapeutici, generalmente effettuati su circuiti differenti, non si può tecnicamente parlate di dati particolari (dati sensibili) se non applicando una coraggiosa estensione della portata della norma.
Il breach di https://www.stiiizy.com riguarda, dunque, dati personali comuni, quelli che destano meno preoccupazione, ma sono connessi ad un tema molto spinoso, scottante, per il quale ben pochi avrebbero piacere di condividerne i dettagli… con la propria madre.
Per comprendere le implicazioni di questo “banale” breach, bisogna fare uno sforzo di fantasia ed immaginare alcuni scenari un po’ distopici. Per fortuna la realtà ci viene in soccorso e ci regala situazioni decisamente molto fantasiose, di quelle inaspettate, che nessuno ha visto arrivare.
GITA IN MACCHINA CON ARRESTO
In alcuni stati, la normativa sulla cannabis è permissiva, in altri è restrittiva, sino ad arrivare a divieti e sanzioni penali. Una situazione a macchia di leopardo, molto eterogenea.
In California, stato in cui opera Stiiizy e residenza della massima parte delle persone coinvolte, le norme sono decisamente permissive (nessun divieto)… ma è sufficiente fare un giretto in macchina per trovarsi in un mare di guai: ciò che è perfettamente lecito in California, e che continua ad essere lecito transitando nel Nevada, diventa improvvisamente il motivo di un arresto appena varcato il confine dell’Idaho. Si, in Idaho la cannabis è semplicemente vietata. Ma la stessa cosa può accadere scendendo dalla Svizzera o dall'Olanda verso l'Italia.
I dati degli acquirenti, oggi resi pubblici, possono facilmente essere acquisiti sia dalle scandalizzate mamme americane, sia dagli integerrimi sceriffi dell’Idaho, ligi al dovere e pronti a sospettare, perquisire ed arrestare chiunque arrivi sotto la loro giurisdizione e abbia la sfortuna di comparire in quella lista di acquirenti abituali che, agli occhi dei tutori dell’ordine, è una lista di sospettati. Di più, una lista di drogati!
Contrariamente alla lista degli acquirenti di cravatte, la lista dei clienti di Stiiizy pesa come un macigno e peserà ancora di più se si riflette sul fatto che le cose possono cambiare.
Per rimanere negli Stati Uniti, la cronaca ci ha mostrato come alcuni stati abbiano ravanato nel torbido e acquisito dati personali che potessero far sospettare il ricorso a interruzione volontaria della gravidanza per poi perseguire le persone coinvolte che, come risulta, hanno effettuato i trattamenti nel pieno rispetto delle regole vigenti nello stato limitrofo.
Di nuovo un'eco nell’aria: “reato universale… universale... sale… aleeee… eee...”
Sorvolando l’oceano alla velocità del pensiero, scopriamo che in Europa, grazie al GDPR, le informazioni contenute in un data breach non possono essere sgraffignate e utilizzate per le proprie finalità, il fatto che siano accessibili non le qualifica come dati pubblici e perché, qui, il fine non giustifica i metodi.
L’entusiasmo però svanisce in fretta appena scopriamo anche che il GDPR e le sue tutele non si applicano alle forze di polizia e alle indagini penali.
I “pudenda” possono essere un problema anche nel vecchio continente, basti pensare a “OffshoreLeaks”: un fulgido esempio in cui le indagini penali si sono avvalse di informazioni derivanti da un data breach.
NON È UN PROBLEMA MIO
…disse quel tizio che non compra cannabinoidi, non sa collocare la California sul globo terracqueo e non ha nemmeno un conto in una banca offshore. All'apparenza.
Tutto cambia e tutto può succedere: ciò che prima era legale e socialmente approvato può diventare riprovevole e può persino diventare illegale. Molto spesso questo cambiamento inizia con norme che introducono controlli arbitrari, senza alcuna connessione a comportamenti antigiuridici, volti unicamente a scoraggiare o stigmatizzare determinati comportamenti, anche se legali.
Un'altra voce nell'aria... "Viva l'Italia antifascista!" urlato dal loggione della Scala... e la cronaca ci ricorda che subito dopo arriva la polizia per identificare questo sovversivo urlatore.
Potremmo immaginare dei controlli stradali non utili alla verifica dello stato di alterazione dei guidatori quanto, piuttosto, all’uso in sé e per sé di sostanze stupefacenti, anche in momenti diversi e ininfluenti rispetto alla guida del veicolo.
A seconda del momento, del luogo o dei condizionamenti sociali, la stessa cosa potrebbe tranquillamente capitare con riferimento a qualsiasi comportamento o caratteristica umana:
- uso di preservativi, deplorevole se lo stato promuove la natalità;
- uso di test di gravidanza, altrettanto deplorevole dove c’è il controllo delle nascite;
- ricorso alla pillola del giorno dopo, problematico se lo stato perdesse la propria laicità;
- accesso alla pornografia online, tipica degli sporcaccioni fedifraghi pedofili e semiciechi;
- scambio di partner nei club privé, promiscui untori dei tempi moderni, “se lo conosci lo eviti, se lo conosci non ti uccide”;
- acquisto di cannabis light, perchè si inizia sempre così e poi diventi un drogato che ammazza i pedoni parcheggiando il suv sul marciapiede;
- viaggiatori di ritorno da paesi con una connotazione politica, sociale, morale, come quel viscido appena tornato dalla Tailandia con le foto della nuova fidanzata, oppure quell’altro che sarà sicuramente un terrorista;
- partecipazione ad una commemorazione, a prescindere da quale braccio si alzi o dalla postura della mano;
- frequentazione di determinate associazioni, che si stava meglio prima quando i generi erano solo due mentre adesso non ci si capisce più niente e usano le lettere;
- frequentazione di determinati luoghi di culto, molto sconvenienti se si è in pochi, magari dicendosi chissà cosa in una lingua segreta che quelli più numerosi non capiscono;
- svolgimento di determinate attività di volontariato o certi lavori, perché i poveri, gli emarginati e i reietti hanno sempre fatto schifo a tutti, e lo schifo è contagioso.
- Il vino… no, il vino no, fa eccezione.
Se un giorno le tasse dovessero essere percepite come “pizzo di stato”, i commercialisti potrebbero vivere giorni difficili. Consiglierei loro, in tal caso, di aggiungere le coperture furto incendio e atti vandalici all’assicurazione della propria macchina.
Ora è un problema tuo.
SOPRAVVIVERE
Essere consapevoli dei comportamenti che generano tracce è essenziale e saperle minimizzare deve essere considerata una competenza di base, necessaria alla propria stessa sopravvivenza esattamente come sapersi allacciare le scarpe con il fiocchetto o saper attraversare una strada. Non essere in grado di fare queste cose significa aver bisogno di un sostegno o un aiuto da parte di chi è più abile di noi. Non intendo giudicare, voglio solo aiutare chi vive spensierato e sgarzullino affinché non si rovini con le proprie stesse mani.
A volte, proteggersi significa rinunciare alla comodità di ordinare certe cose con un click, al vantaggio di una tessera fedeltà con punti e sconti, alla praticità di un pagamento contactless o con carta di credito, alla vicinanza del negozio di paese rispetto a quello più lontano dove nessuno ti conosce.
Chi si fa tutti questi problemi per pagare la colazione del mattino al bar è un paranoico. In altre circostanze, quelle da "pudenda", tutti dovremmo pensare bene a ciò che stiamo facendo per non scoprirci vittime della nostra stessa spensieratezza.
Essere su una lista, come quella degli acquirenti di Stiiizy, rischia di diventare un problema enorme in caso di data breach e un data breach dura per sempre… una volta che i dati sono online, non saranno mai cancellati, nemmeno quando quella particolare lista diventerà un precedente scomodo da dimenticare. Solo per completezza: ciò che è stato rubato a Stiiizy non è solo il database dell'ecommerce ma tutto il database degli acquisti, online e in negozio. Ricordiamocelo la prossima volta che ci vene proposta la registrazione come cliente con tessera rfid... comodissima per trovare il tuo solito "Orange Mocha Frappuccino" già in preparazione appena entri nel locale.
La rete non dimentica.
Purtroppo, duole ammetterlo, bisogna proteggersi da soli perché, dopo, nessuno potrà aiutarci. Non ci si può affidare serenamente a chi dovrebbe custodire i nostri dati solo perché è tenuto a farlo, sarebbe come attraversare la strada senza guardare solo perché il semaforo è verde. Non si può nemmeno fare affidamento sui tutori dell'ordine perchè, per stare all'esempio, non si può attraversare senza guardare perchè chi non mi da la precedenza prenderà la multa.
Nessun conforto ci potrà dare l’aver individuato un colpevole, recriminare le sue malefatte, invocare sanzioni e sbraitare. Una sanzione non rimedia a nulla.
Ogni volta che possiamo, è bene evitare di registrare i nostri dati personali (veri) sui sistemi informatici che frequentiamo e, sicuramente, non in quelli che sottendono le “pudenda”.
Comportati sempre… come se tua mamma ti stesse guardando.
COROLLARIO: QUANTO SIAMO STUPIDI
Questi materiali sono tratti dai sample del data breach Stiiizy e sono utilizzati al solo scopo di illustrare la stupidità umana. Le considerazioni espresse fanno riferimento ad uno scenario domestico e alla vigenza del GDPR, prescindono dalla normativa locale Californiana.
Anziché registrare solo gli estremi del documento di identità (cosa perfettamente legale quando c’è un obbligo di legge o un interesse legittimo di tutela contro le frodi), presso Stiiizy sono registrate e archiviate le scansioni fronte e retro ed in alta risoluzione dei documenti di identità di ogni utente.

La modulistica di Stiiizy prevede la richiesta di firma come forma di rilascio del consenso per attività di marketing. Queste firme sono registrate in formato grafico vettoriale e non sono protette in alcun modo. Date le premesse, si tratta di una richiesta fuori di cotenna. Alcuni utenti hanno fatto uno scarabocchio (bene) altri hanno firmato realmente come firmano nel mondo reale (molto male).

Per utilizzare la vendita online, è necessario indicare un indirizzo email. In questo caso la cliente, anziché utilizzare una mail temporanea o sacrificabile o impersonale, ha indicato una mail personale, riconducibile su un dominio da lei registrato e utilizzato per il proprio blog. Da questa mail è elementare ricavare l’indirizzo del sito e accedere alle sue pagine web. In questo caso si perde qualsiasi forma di anonimato e a nulla sarebbe servito fornire generalità false.


I campi note, a volte dicono, registrano cose che non ci aspetteremmo di trovare. In questo caso testimoniano che un cliente ha fatto la pipì sulla merce e che è stato ripreso dalla videosorveglianza. Nel secondo caso, un ottimo cliente viene rimbalzato e le ragioni di dettaglio sono diligentemente annotate.


eof
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.
Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.