I dati di un utente privato di un decennio sono stati esposti da Rallyhood

Quando Zack Whittaker di TechCrunch entrò in contatto con Rallyhood per parlare di un bucket S3 configurato in modo errato che esponeva molti dati degli utenti, inizialmente gli fu detto che il database che perdeva veniva usato solo a scopo di test e che le informazioni effettive delle persone venivano conservate "in un secchio altamente sicuro". Successivamente, Chris Alderson, Chief Technology Officer di Rallyhood, ha fornito una versione diversa degli eventi. Ha ammesso che durante un progetto di migrazione "le autorizzazioni sono state erroneamente lasciate aperte" su uno dei secchi di archiviazione dell'azienda per "un breve periodo". Al momento in cui scrivo, questa è l'unica informazione che Rallyhood ha condiviso con il resto del mondo per quanto riguarda l'incidente, e si deve dire che questo non è l'ideale data la quantità e la natura dei dati trapelati.

Un altro giorno, un altro bucket S3 che perde espone i file di milioni di utenti

La perdita è stata scoperta da un ricercatore di sicurezza che preferisce essere conosciuto dal suo handle di Twitter, Timeless. Timeless ha deciso di utilizzare l'influenza di TechCrunch per garantire che i dati siano protetti il più rapidamente possibile, il che, alla luce delle attività di Rallyhood e dell'enorme base di utenti, è stato in effetti il compito più urgente.

La popolarità del sito web ha avuto un forte impulso quando Yahoo ha annunciato che stava per abbattere i gruppi di Yahoo, e orde di persone hanno spostato le loro discussioni su Rallyhood. Dovremmo sottolineare, tuttavia, che Rallyhood è molto più di una semplice bacheca di messaggistica. È anche una piattaforma di collaborazione che viene utilizzata da organizzazioni di tutte le forme e dimensioni allo scopo di organizzare e tenere traccia di attività ed eventi. Ciò significa che Rallyhood deve elaborare e archiviare molti dati.

La società non dirà quanti utenti attivi ha la piattaforma e al momento non è possibile stimare il numero esatto di persone colpite dalla perdita. Quello che sappiamo è che il bucket S3 conteneva un enorme 4,1 TB di dati e che, grazie a un errore di configurazione fin troppo comune, era accessibile pubblicamente senza password. Secondo Zack Whittaker, anche l'URL era "facilmente indovinabile", il che ha reso ancora più reale la possibilità che qualcuno mettesse le mani sulle informazioni.

Alcuni dei dati esposti sono estremamente sensibili

Whittaker ha esaminato alcuni dei file e ha trovato i dettagli di contatto che gli hanno permesso di contattare gli utenti interessati e verificare l'autenticità della perdita. Sfortunatamente, oltre ai telefoni e agli indirizzi e-mail, il bucket conteneva molte più informazioni.

Il reporter di TechCrunch ha trovato di tutto, dai contratti e le autorizzazioni ai contratti di non divulgazione e agli elenchi di password condivise che non avrebbero dovuto essere pubblicamente accessibili. Come già accennato, il CTO di Rallyhood ha cercato di limitare il danno dicendo a TechCrunch che l'esposizione non è durata a lungo, ma ha preferito non dire quanto "breve" fosse il "breve periodo". Quello che sappiamo per certo è che alcuni dei file nel database trapelato avevano un timestamp 2011. Sfortunatamente, nonostante il fatto che ci fosse quasi un decennio di file privati nel database non configurato correttamente, Rallyhood ha rifiutato di dire a TechCrunch se la società ha in programma di informare le persone potenzialmente interessate al riguardo.

Tutto sommato, finora, Rallyhood ha dimostrato una netta mancanza di trasparenza nella gestione di ciò che è senza dubbio una perdita di dati piuttosto grave. La società ha chiaramente commesso un errore, il che non è certo una buona cosa, ma la brutta impressione deriva dal fatto che si comporta come se non fosse disposto ad accettare la responsabilità.