Navionics espone online un db clienti, ma chiude subito la falla

L’italiana Navionics S.p.A. – il principale produttore di carte elettroniche nautiche per naviganti, acquisita l’anno scorso da Garminha inavvertitamente esposto su Internet un database con i dati di 261.259 clienti.

Il database aperto è stato indicizzato il 9 settembre dal motore di ricerca Shodan e il 10 settembre è stato scoperto dal ricercatore Bob Diachenko. I contenuti del database comprendevano indirizzi e-mail, in certi casi i nomi degli acquirenti, gli identificativi dei prodotti ordinati e gli username.

L’11 settembre Diachenko ha avvertito i responsabili di Navionics, che si sono mossi in fretta: lo stesso giorno della notifica hanno disattivato il server e hanno iniziato a investigare l’accaduto.

A detta del ricercatore il problema era dovuto a delle impostazioni errate sul database MongoDB, ma fortunatamente non sono stati trovati indicatori che lascino pensare a un “furto” dei dati, come ad esempio modifiche ai record, cancellazioni o richieste di riscatto (attività comuni quando un criminale accede a un db aperto).

La stessa azienda rassicura, in una dichiarazione raccolta da Diachenko, che i dati non sono stati oggetto di furto. Sempre nella stessa dichiarazione la società afferma di aver avvertito per e-mail i clienti interessati:

Navionics takes data protection very seriously, and we are grateful that Mr. Diachenko notified us of this misconfiguration using the responsible disclosure model. Once notified, we immediately investigated and resolved the vulnerability. Following our investigation, we confirmed that none of the records or data were otherwise accessed or exfiltrated, and none of the data was lost. Even so, Navionics still notified affected customers via e-mail by October 8, 2018

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.