Chi sta vendendo i dati personali degli ucraini e per quale scopo?

Immagine di Gerd Altmann, Pixabay.

A seguito di una serie di fughe di notizie pubblicizzate sulle informazioni personali dei cittadini, gli ucraini stanno notando lentamente l’importanza della protezione dei dati personali. Tuttavia, con le elezioni che si avvicinano del 25 ottobre, una certa quantità di dati sensibili degli elettori già disponibile online crea le perfette condizioni per una diffusione mirata della disinformazione o di qualsiasi altro contenuto dannoso sia da parte di attori politici nazionali che stranieri.

Nel maggio 2020, un attivista ucraino Volodymyr Flonts ha avvertito il pubblico [ru, come tutti i link successivi, salvo diversa indicazione] circa un anonimo chatbot @UA_baza presente su una famosa applicazione di messaggistica Telegram che vende i dati sensibili dei cittadini ucraini. Dopo essere apparso qualche mese prima, il bot aveva affermato di aver raccolto 900 GB di dati, inclusi numeri di passaporto, codici di identificazione personale, dichiarazioni dei paesi di residenza, patenti, password dei social media e persino coordinate bancarie di milioni di ucraini. Offriva l’accesso a cinque voci e la vendita di tutto il database per 500 dollari. La lista dei dati disponibili rende evidente che non sarebbe potuto essere accumulato solo da fonti disponibili online. Allora da dove potevano provenire queste informazioni?

creenshot 1: Possibili opzioni di richiesta dati dal bot di Telegram @UA_baza, inclusi dati sensibili come un numero di passaporto o codice fiscale. Screenshot del 12.05.2020, profilo disattivato il giorno stesso.

Ci sono numerosi database ufficiali e non che contengono i dati sensibili dei cittadini in Ucraina. Tra questi, registri statali compilati e amministrati da varie agenzie al fine di fornire servizi pubblici, database di consumatori e altri set di dati di probabile natura commerciale la cui origine è difficile da individuare. Ad esempio lo State Voter Registry (registro degli elettori del paese) è uno dei più grandi database del paese contenente informazioni di milioni di cittadini, sostenuto da un corpo speciale all’interno della Commissione Elettorale centrale (CEC). L’accesso al registro è rigidamente regolamentato, tanto che un candidato presidenziale del 2019 notoriamente si lamentava che gli sarebbero serviti 6.000 anni per controllare correttamente se ci fossero state irregolarità. Tuttavia, nonostante procedure di sicurezza apparentemente rigorose, “hack-ttivisti” ucraini hanno precedentemente sottolineato le vulnerabilità del sito web del registro, mentre i membri della CEC hanno pubblicamente ammesso la mancanza di personale qualificato IT/sicurezza informatica tra i dipendenti pubblici a causa di un ampio divario retributivo tra il settore pubblico e commerciale.

A sua volta, entità commerciali quali le compagnie della telecomunicazione, rivenditori online, banche [en] e operatori logistici mantengono il loro set di dati dei clienti. Inoltre, i dati dei consumatori sono raggruppati e condivisi nel quadro di diversi programmi di fidelizzazione a livello nazionale – alcuni includono una rete di oltre 90 store online e milioni di clienti in tutta l’Ucraina. Imprese minori solitamente operano con il proprio database clienti. Mentre grandi industrie solitamente consentono l’accesso ai loro dati a terze parti per scopi pubblicitari, per le imprese più piccole è molto più comune vendere i loro database clienti online. E mentre la legge sulla protezione dei dati sensibili proibisce la vendita di dati dei consumatori senza informato consenso da parte del suo stesso soggetto, l’Ucraina manca di regolamenti efficienti e di meccanismi per indagare su tutti questi casi o ritenere responsabili le persone in violazione.

L'enorme quantità e natura dei dati resa disponibile all’acquisto sulla chatbot @UA_baza ha causato una protesta pubblica e un’inchiesta ufficiale. Il bot è stato subito disattivato, nonostante sia chiaro se è stato rimosso da Telegram o cancellato dai suoi creatori. Tuttavia, diversi account con un nome simile sono riapparsi, poco tempo dopo, su Telegram. Un’inchiesta giornalistica sul suddetto incidente ha ipotizzato che il set di dati divulgati combinasse dati provenienti da registri governativi, incluse versioni più vecchie dello State Voter Registry e del Unified Demographic Registry, database commerciali e social media.

Anche se nessuna fonte ha mai aggregato così tanti dati prima, questa non è la prima volta in cui i dati sensibili dei cittadini ucraini sono stati divulgati online. Nel 2018, quello che sembrava essere un database di 18 milioni di clienti della più grande società di logistica del paese “Nova poshta”, è stato divulgato. Nel 2019, l’autorità giudiziaria ha arrestato qualcuno che vendeva un database del Servizio doganale ucraino. E nel giugno 2020, i giornalisti hanno confermato la divulgazione di un database di clienti di PrivatBank – una delle più grandi banche dell’Ucraina. Prima dell’apparizione del famigerato bot di Telegram, tali set di dati sono stati venduti online su oscure bacheche, mentre una semplice ricerca su internet rivelerebbe i più piccoli commercianti di dati che si offrono per compilare database personalizzati che contengono nomi completi, numeri di telefono, il sesso e indirizzi email su richiesta.

Screenshot 2: Possibili opzioni di richiesta dati da un bot operativo di Telegram che propone i dati dei cittadini in vendita. Screenshot del 15-10-2020.

In attesa delle elezioni locali del 25 ottobre, gli scambi online di dati sensibili degli ucraini continuano. Proprio ultimamente, un account Telegram con un nome simile al bot disattivato @UA_baza ha annunciato di vendere database di elettori. E nonostante questo account pare sia essere fraudolento, oltre 16 mila utenti lo seguono. Tuttavia altri bot di Telegram che vendono sottoinsiemi più piccoli di dati personali sono in azione almeno dal 2018. Uno di questi bot (vedi screenshot 2) collega un numero di telefono a un nome e cerca altre informazioni associate ad esso, come ad esempio l’indirizzo email, una foto, profilo social media, registro attività, o una targa. Le singole richieste sono fornite gratuitamente o in cambio di un numero di telefono dall’elenco telefonico di un utente, incoraggiando gli utenti ad inserire dati personali di altre persone senza consenso o senza essere avvisate, mentre una grande quantità di dati è venduta per una modesta cifra pari a 50 dollari. I creatori del bot rimangono anonimi e affermano di avere accumulato le loro banche dati da “fonti aperte”, come ad esempio i siti per coloro che cercano lavoro. Tuttavia, alcuni utenti hanno riconosciuto i dati che hanno precedentemente fornito a imprese private, indicando il fatto che tale bot potrebbe star usando database dei consumatori trapelati.

E nonostante il chatbot che vende i più grandi set di dati sia stato disattivato e l’indignazione pubblica si sia placata, la quantità di dati personali ancora disponibili online permette ad un vasto numero di cittadini di essere presi di mira da contenuti potenzialmente minacciosi. Per esempio, un recente incidente nella città di Novi Sanzhary dove un'agitazione connessa all'arrivo di cittadini ucraini dalla città cinese di Wuhan colpita da Coronavirus è stata istigata attraverso gruppi Viber, e post di Instagram e Facebook, ha dimostrato come l'accesso non richiesto a migliaia di numeri di telefono può essere utilizzato per diffondere disinformazione, provocare il panico di massa, e incitare disordini in un particolare territorio utilizzando popolari applicazioni di messaggistica e social media. Con molti dei dati trapelati contenenti informazioni personali e commerciali sensibili, è difficile prevedere dove sarebbero riemersi successivamente. Tuttavia, è chiaro che tali dati potrebbero essere facilmente sfruttati da attori sia nazionali che esterni in una varietà di contesti, anche in politica.

avvia la conversazione

login autori login »

linee-guida

  • tutti i commenti sono moderati. non inserire lo stesso commento più di una volta, altrimenti verrà interpretato come spam.
  • ricordiamoci di rispettare gli altri. commenti contenenti termini violenti, osceni o razzisti, o attacchi personali non verranno approvati.