Amazon vittima di un data leak, ma la notifica delude tutti

La "disclosure" di Amazon

Subire un data leak pochi giorni prima del Black Friday non è bello, ma lo è ancora di meno se ti chiami Amazon.

Gli esperti di sicurezza però sono molto perplessi sul modo con cui Amazon ha gestito la comunicazione ai clienti e agli stakeholder.

Là dove altre aziende condividono le prime informazioni importanti, tipo quando è avvenuta la violazione dei dati, come è avvenuta e quanti clienti ha interessato, Amazon si è invece dimostrata estremamente abbottonata. La notizia si è diffusa solo perché mercoledì alcuni clienti Amazon hanno iniziato a postare su Twitter una strana e-mail, che ripropongo per intero:

From: "Amazon.com" <no-reply@amazon.com>
Subject: Important Information about your Amazon.com Account
Date: November 21, 2018 at 10:54:01 AM GMT

Hello,

We’re contacting you to let you know that our website inadvertently disclosed your name and email address due to a technical error. The issue has been fixed. This is not a result of anything you have done, and there is no need for you to change your password or take any other action.

Sincerely,
Customer Service
http://Amazon.com

In altri casi la mail proviene da “Amazon.co.uk” e presenta questo indirizzo in calce.

Non ci sono stati né comunicati stampanotifiche sul sito. Il formato del messaggio poi è molto diverso dalle mail solitamente professionali inviate dall’azienda. Molti hanno quindi pensato che fosse parte di un qualche genere di truffa, e il modo strano di scrivere l’indirizzo del sito (http:// anziché https://) non ha fatto altro che rinforzare questo dubbio.

Solo perché la testata The Register li ha contattati direttamente abbiamo avuto conferma dall’ufficio stampa di Amazon UK che le mail sono state effettivamente inviate da loro.

In assenza di ulteriori informazioni non possiamo fare altro che unire i puntini e fare riferimento a un articolo del Wall Street Journal di quasi due mesi fa, dove si racconta di Amazon che ha licenziato un dipendente per aver condiviso gli indirizzi e-mail di “alcuni” clienti con un venditore. Non sappiamo però con certezza se le due vicende siano collegate.

Ora quindi la situazione è questa: Amazon ha subìto un data leak, anche se non sappiamo bene dove: Stati Uniti? UK? Gli utenti su Twitter che hanno riportato il messaggio scrivono dagli USA, dall’Olanda, dalla Corea del Sud e dal Regno Unito.

Non sappiamo quando è avvenuto né quanto è durato. Un giorno? Un mese?

Non sappiamo neanche quanti utenti ha interessato. Cento? Un milione?

Ovviamente non sappiamo come è avvenuto.

Sappiamo che i dati diffusi sono il nome e l’indirizzo e-mail dei clienti, abbastanza per poter inviare phishing che facciano riferimento a un ipotetico recente ordine fatto su Amazon (magari durante o dopo il Black Friday) con invitanti link per il “tracciamento della spedizione” che però scaricano malware.

Ci sarà come sempre da fare attenzione alle mail sospette, mentre l’opinione comune è che Amazon dovrebbe gestire questo genere di disclosure con maggiore chiarezza.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.