Il famoso gruppo di palestre britannico Total Fitness è stato protagonista di un grave attacco informatico che ha esposto le foto di quasi mezzo milione di membri e dipendenti. La notizia è emersa dopo che un ricercatore di sicurezza informatica, Jeremiah Fowler, ha scoperto un database non protetto contenente immagini e dati sensibili accessibili a chiunque su internet, senza la necessità di una password.

Il database

Del peso di 47.7 GB, conteneva non solo foto dei membri e dello staff, ma anche documenti d'identità, dettagli bancari, numeri di telefono e perfino registri di immigrazione. Questa scoperta solleva serie domande sulla gestione dei dati da parte di Total Fitness: come sono stati raccolti, chi ha accesso a queste informazioni e per quanto tempo vengono conservate.

Protezione delle immagini

Fowler ha evidenziato che, a differenza di molte piattaforme di social media che permettono agli utenti di avere profili privati e di controllare chi può vedere i loro contenuti, le immagini caricate dai membri su Total Fitness non sembrano godere dello stesso livello di protezione. È ipotizzabile che le immagini memorizzate nel database possano essere conservate anche dopo essere state eliminate dagli utenti, il che spiegherebbe perché il database conteneva immagini di documenti sensibili.

Minimizzazione della violazione

Total Fitness ha minimizzato l'entità della violazione, sostenendo che le immagini dei membri rappresentavano solo una "sottosezione" del database e che la maggior parte delle immagini non conteneva informazioni personali identificabili. Tuttavia, Fowler sostiene che le immagini dei membri rappresentavano circa il 97% del database.

Possibilità di abuso dei dati

Indipendentemente dalla veridicità delle affermazioni di Total Fitness o del ricercatore, è innegabile che la possibilità di abuso dei dati fosse presente. Le immagini esposte potrebbero essere utilizzate per vari scopi criminali, tra cui furto d'identità, truffe romantiche o persino la creazione di deepfake.

Dichiarazioni di Total Fitness

Total Fitness ha dichiarato di aver messo in sicurezza il database e di aver segnalato la violazione all'autorità britannica per la protezione dei dati, l'Information Commissioner's Office (ICO), per un'indagine. Sebbene l'azienda affermi che non ci siano prove di accesso non autorizzato al database, a parte quello di Fowler, l'incidente sottolinea l'importanza di adottare pratiche di sicurezza rigorose per evitare simili violazioni.

Prevenzione degli incidenti

Per prevenire incidenti analoghi, le organizzazioni dovrebbero implementare controlli di accesso robusti, minimizzare la raccolta di dati, utilizzare la crittografia e condurre audit di sicurezza regolari. La protezione dei dati dei clienti non è solo una questione di conformità legale, ma anche di mantenere la fiducia e la sicurezza dei propri utenti.

Tweet