Fermata #167 - KYC: pericolo pubblico
I dati personali di quasi l'intera popolazione salvadoregna pubblicati online. Il sospetto Chivo e l'aumento degli attacchi informatici. Le procedure di identificazione sono ora un pericolo concreto
Nome, cognome, data di nascita, foto profilo ad alta definizione, indirizzo di residenza, indirizzo e-mail e numero di carta d’identità.
Sono i dati di 5,1 milioni di individui salvadoregni che sono stati pubblicati pochi giorni fa. Considerando che il numero di abitanti totale è 6,3 milioni, quali l’intera popolazione di El Salvador ha visto i propri dati sensibili finire online.
Qui puoi ascoltare un estratto gratuito di Bitcoin Train Podcast!
Per accedere alla completa versione narrata dell’articolo ed entrare nel gruppo Telegram dedicato alla newsletter, abbonati a Bitcoin Train. Puoi farlo sia pagando in bitcoin (clicca qui) che in euro (clicca qui).
Come riportato da Atlas21, il database che comprende le informazioni di 5.129.518 persone pesa 144 GB ed era già disponibile per il download dallo scorso agosto a un prezzo di $250. Il 6 aprile i dati sono stati rilasciati gratuitamente.
Qualcuno ha fatto notare su Twitter che la lista di informazioni corrisponderebbe a quella richiesta per creare un account su Chivo, il wallet di stato rilasciato dal governo di El Salvador.
Il condizionale è d’obbligo perché l’origine dell’hack non è ancora stata accertata.
I sospetti, tuttavia, sono molto forti. Poche ore dopo la diffusione della notizia del data leak, in un gruppo Telegram di cybersecurity è stato pubblicato lo script per eseguire un attacco di brute force con la password “123456”1 sui server di Chivo: elemento non facile da ottenere, considerando soprattutto che Chivo è un wallet closed-source, il cui codice non è pubblico. Ma lo script funziona e il server risponde, quindi chi l’ha pubblicato ha ottenuto in qualche modo accesso ai sistemi di Chivo. Il timing è quantomeno curioso.
In attesa di eventuali conferme ufficiali, la notizia induce una riflessione. Davvero i sistemi di riconoscimento del cliente (KYC, Know Your Customer), sono efficaci come appaiono? Funzionano effettivamente per evitare i finanziamenti al terrorismo, come ripetuto assiduamente da ogni autorità? O rappresentano, piuttosto, una minaccia per tutti coloro che rispettano le regole?
Stai pianificando le vacanze estive? Fallo in bitcoin e guadagna un cashback sulla tua prenotazione con Bitrefill.
Airbnb, Volagratis, Hotels.com, ITA Airways, Trenitalia, Italo, Smartbox, Lastminute.com, Flixbus, Q8, Tamoil e molti altri: su Bitrefill trovi oltre 10.000 opzioni di voucher in 180 Paesi.
La creazione di un account Bitrefill non è obbligatoria, ma richiede solo pochi secondi: il tempo necessario per inserire una e-mail e una password, nessuna verifica dell’identità.
Per un EXTRA CASHBACK in bitcoin del 10% sui tuoi primi €50 di acquisti applica il codice "bitcointrain" al checkout.
Bitcoin Train è sponsorizzata da Bitrefill, il servizio che rende più facile vivere in bitcoin.
Crescono gli attacchi e il KYC non è efficace
La pubblicazione dei dati dei cittadini salvadoregni dimostra ancora una volta, come se ce ne fosse bisogno, che ogni database centralizzato consiste in un pericoloso punto di vulnerabilità. Gli attacchi non sono una novità e sono in forte crescita.
Secondo l’ultimo report Data Breach 2023, pubblicato a gennaio dall’Identity Theft Resource Center (ITRC), l’anno scorso sono stati segnalati 3.205 data leak che hanno coinvolto un totale di 353.027.892 persone. Si tratta di un aumento degli attacchi pari al 78% rispetto al 2022.
In particolare tre settori hanno registrato oltre il doppio dei leak rispetto all’anno precedente: sanità, servizi finanziari e trasporti.
Alcuni degli attacchi più noti del 2023 sono stati subiti da MCNA Insurance, PharMerica e Latitude Financial:
MCNA Insurance: la violazione ha riguardato circa 8,9 milioni di persone e ha coinvolto dati personali quali nomi, indirizzi, date di nascita, numeri di previdenza sociale, dati di assicurazione sanitaria e informazioni mediche.
PharMerica: la violazione ha riguardato lo stesso tipo di informazioni personali, questa volta di 5,8 milioni di pazienti.
Latitude Financial: sono stati compromessi oltre 14 milioni di documenti, tra cui quasi 8 milioni di patenti di guida, circa 53.000 numeri di passaporto e una serie di rendiconti finanziari.
Dai sensibili in mano a terze parti: un pericolo
L’applicazione di meccanismi di regolamentazione come il KYC (Know Your Customer) e l’AML (Anti Money Laundering), è spesso giustificata dalle istituzioni con la necessità di prevenire il riciclaggio di denaro e il finanziamento del terrorismo.
Tuttavia sono molteplici i casi in cui, nonostante controlli rigorosi, importanti istituzioni finanziarie sono state coinvolte in scandali di riciclaggio. Tra i casi più noti quello della banca britannica HSBC:
nel febbraio 2008, le autorità messicane informarono il Ceo della filiale locale di HSBC che un noto narcotrafficante descriveva la banca come "il posto per riciclare denaro”. Due cartelli nello specifico, uno messicano e uno colombiano, erano riusciti a trasferire $881 milioni di proventi della droga attraverso la banca in meno di cinque anni. Nel 2012 i procuratori statunitensi annunciarono un accordo record che comminava all’istituto finanziario una multa da $1,92 miliardi.
Oltre all'inefficacia, pratiche come il KYC rappresentano un pericolo per la sicurezza personale degli individui. La raccolta e la conservazione di grandi volumi di dati sensibili espongono i clienti a rischi significativi di violazioni della privacy e attacchi informatici, come quello salvadoregno. Jameson Lopp, noto sviluppatore e imprenditore Bitcoin, da anni mantiene una lista degli attacchi fisici che sono stati resi noti ai detentori di criptovalute.
Attacchi che non sarebbero stati eseguiti se i malintenzionati non fossero stati a conoscenza delle informazioni finanziarie delle vittime. Cosa può implicare la divulgazione dei dati sensibili di oltre 5 milioni di persone, quando, soprattutto, si è in possesso di tutte le informazioni e tutti i documenti necessari per eseguire le procedure di identificazione di sicurezza? Magicamente il KYC si trasforma in un boomerang.
Nonostante l'intento di combattere il crimine finanziario, KYC e AML non solo falliscono spesso nel loro scopo, ma impongono anche un pesante fardello sulla libertà individuale e sulla sicurezza personale.
Tentare la password “123456” per tutti gli account Chivo a disposizione dell’attaccante.