Un database non protetto contenente informazioni sensibili di oltre 300.000 passeggeri che si sono serviti del servizio TAXI in Regno Unito e in Irlanda è trapelato in rete. Il rischio che questi dati cadesse in mani inopportune era elevato, considerando che non c'era nemmeno una password a proteggere queste informazioni.
La scoperta è stata fatta dal ricercatore di sicurezza informatica Jeremiah Fowler, che ha individuato il database appartenente alla società con sede a Dublino, iCabbi. Quest'ultima gestisce un sistema di dispatch per taxi basato sul cloud, ma sembra che le misure di sicurezza non fossero adeguatamente implementate. Il database rintracciato era aperto al pubblico senza nessuna forma di protezione. Al suo interno si trovano 20.000 documenti che includono dati personali come nomi, email e numeri di telefono dei clienti.
Curiosamente, tra gli indirizzi email esposti c'erano non solo quelli personali comunemente utilizzati come Gmail e Yahoo, ma anche email appartenenti a organizzazioni rinomate come la BBC, agenzie governative e università, aumentando il rischio di potenziali abusi.
Fowler non ha perso tempo e ha immediatamente notificato iCabbi riguardo la falla nel loro sistema. La società ha prontamente risposto limitando l'accesso pubblico al database il giorno seguente alla segnalazione. L'accesso al database da parte del ricercatore non ha richiesto credenziali riservate né tecniche di hacking: era sufficiente una semplice connessione internet. Dopo la divulgazione della fuga di dati, un rappresentante di iCabbi ha comunicato che i record sono stati eliminati, attribuendo l’incidente a un errore umano, legato alla migrazione dei dati dei clienti. Hanno anche fatto sapere che stanno adottando misure per comunicare l'accaduto ai clienti coinvolti.
Si crede che il database funzionasse come un repositorio di gestione contenuti per documenti utilizzati dall'applicazione, quali file con termini e condizioni e fogli di calcolo contenenti i dati dei clienti.
Gli episodi di database non protetti costituiscono un problema comune ma allo stesso tempo prevenibile. Ne è un esempio un recente episodio che ha coinvolto Microsoft, con la scoperta di un database non sicuro che esponeva dati di dipendenti e aziendali. Questo evento dimostra come anche le grandi imprese possano essere vulnerabili a simili negligenze, sottolineando l'importanza di attuare delle rigorose politiche di sicurezza.