TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.
Quando vi registrate su una piattaforma finanziaria, un exchange di criptovalute o un servizio che vi chiede di verificare la vostra identità caricando un documento, quei dati raramente restano solo a quel servizio. Spesso vengono inviati a un’azienda terza specializzata nella verifica, un provider KYC (dall’inglese “Know Your Customer”, “conosci il tuo cliente”). Il vostro documento, il vostro indirizzo, il vostro numero di telefono finiscono in un database che voi non avete scelto e di cui probabilmente non avete mai sentito parlare.
Il problema emerge quando quell’azienda terza lascia la porta aperta. È quello che è successo con IDMerit, un provider di verifica dell’identità digitale che lavora con aziende del settore finanziario e fintech in tutto il mondo. Il team di ricerca di Cybernews ha individuato lo scorso 11 novembre un database MongoDB appartenente all’azienda, accessibile via internet senza alcuna autenticazione. Niente password, niente crittografia, niente di niente: un terabyte di dati personali a disposizione di chiunque sapesse dove cercare.
Cosa conteneva il database
In totale si parla di circa 3 miliardi di record, di cui secondo i ricercatori circa un miliardo contiene dati personali sensibili. Il resto sarebbe composto da log di sistema e metadati tecnici, meno critici ma comunque indicativi della struttura del database. Tra le informazioni esposte figurano nomi completi, date di nascita, indirizzi di residenza, numeri di telefono, indirizzi email e documenti d’identità nazionali.
Il database copre 26 paesi. Gli Stati Uniti sono i più colpiti con oltre 203 milioni di record, seguiti da Messico (124 milioni) e Filippine (72 milioni). L’Italia compare con circa 53 milioni di record, affiancata da Germania (61 milioni) e Francia (53 milioni).
Una precisazione importante: 53 milioni di record non equivalgono a 53 milioni di persone. A una singola persona possono corrispondere più voci nel database (il documento, il numero di telefono, l’indirizzo sono registrati separatamente). La scala resta comunque significativa.
Perché è grave
A differenza dei soliti leak di email e password, un database KYC contiene informazioni strutturate e verificate, esattamente il tipo di dati che servono per un furto d’identità. Con un nome completo, una data di nascita e un numero di documento si possono tentare frodi creditizie, attacchi di SIM swap (il trasferimento fraudolento del vostro numero di telefono su un’altra SIM), phishing mirato e molto altro.
IDMerit ha chiuso il database il giorno dopo la segnalazione, il 12 novembre. Al momento non ci sono prove pubbliche che qualcuno abbia effettivamente scaricato i dati, ma i ricercatori sottolineano che i gruppi criminali utilizzano strumenti automatici che scandagliano la rete in continuazione alla ricerca di database esposti, e che spesso li copiano nel giro di poche ore.
Il nodo di fondo
La vicenda mette in luce un problema strutturale: la verifica dell’identità digitale è diventata un passaggio obbligato per sempre più servizi, ma i dati raccolti finiscono concentrati nelle mani di pochi intermediari. Se uno di questi intermediari commette un errore, le conseguenze ricadono su milioni di persone che non hanno mai avuto voce in capitolo su dove e come i propri documenti venissero conservati.
Per limitare l’esposizione dei propri dati, una buona pratica è usare un gestore di password come Proton Pass per evitare di riutilizzare le stesse credenziali ovunque, e una casella email dedicata esclusivamente alle registrazioni su servizi finanziari, così da isolare eventuali tentativi di phishing. Servizi come Proton Mail o Tuta offrono caselle crittografate che possono servire esattamente a questo scopo.
