Convertitori PDF online espongono i dati degli utenti

Esistono un’infinità di servizi online, gratuiti e a pagamento, che permettono di convertire PDF in Word e in altri formati. Nella maggior parte dei casi, i fornitori di questo tipo di servizi si attengono a una policy sulla privacy stringente e si impegnano a cancellare tutti i dati caricati dagli utenti a distanza di poche ore dall’upload.

I risultati di una ricerca appena pubblicata mettono in evidenza, tuttavia, che non è sempre così. Il team di Cybernews ha scoperto che almeno due servizi per l’elaborazione di file PDF online avrebbero conservato oltre 89.000 documenti personali degli utenti.

Cosa ancor più grave, vari tentativi di contattare i fornitori dei due servizi in questione non hanno avuto successo (tutte le email spedite sono state ignorate). Inoltre, i dati personali degli utenti sono addirittura accessibili pubblicamente attraverso un bucket Amazon S3. Ci sono documenti riservati, patenti di guida, contratti, varie tipologie di certificati e altri dati. Il bucket S3 resta al momento ancora esposto e consultabile da chiunque senza alcuna forma di autenticazione.

I convertitore PDF online che salvano i dati degli utenti e non li cancellano dopo l’upload

Gli esperti di Cybernews puntano il dito, per il momento, contro due convertitori PDF online: PDF Pro (pdf-pro.io) e Help PDF (help-pdf.com). Entrambi, raccontano i tecnici, sembrano gestiti dal medesimo soggetto con sede nel Regno Unito e, quando si punta il browser sulle rispettive home page, accolgono gli utenti con un design identico.

I servizi offerti dalle due piattaforme spaziano dagli strumenti di conversione a quelli di compressione ed editing. C’è anche la possibilità di firmare i documenti PDF inviati al servizio.

Secondo il team che ha condotto la ricerca, tuttavia, sia PDF Pro (da non confondere con altri tool dal nome simile) che Help PDF memorizzano ed espongono complessivamente più di 89.000 file, senza che gli utenti ne siano assolutamente consapevoli.

Guadagnando l’accesso a una simile mole di documenti personali, eventuali criminali informatici possono intraprendere varie attività fraudolente, compresi furti d’identità, attacchi phishing e vishing particolarmente efficaci.

Incidenti di questo genere riaprono il dibattito sulla “fiducia” che si meritano i servizi imperniati sul cloud e che elaborano dati personali. Come abbiamo spesso sottolineato, è bene scegliere solo piattaforme affidabili ed evitare comunque il caricamento di documenti riservati.

Cosa dovrebbero fare le due piattaforme

Sebbene non sia ad oggi pervenuto alcun tipo di riscontro, i ricercatori consigliamo a PDF Pro e ad Help PDF alcuni passaggi cruciali, volti ad arginare l’incidente e scongiurare simili problemi in futuro:

• Applicare immediatamente una restrizione sull’accesso pubblico al bucket S3.
• Modificare la policy del bucket e delle liste di controllo accessi (ACL) per limitare l’accesso solo agli utenti o alle applicazioni autorizzate.
• Assicurarsi che tutti gli oggetti nel bucket siano impostati su privato o che abbiano configurati i controlli di accesso appropriati.
• Abilitare la crittografia lato server sul bucket per proteggere i dati a riposo. Gli amministratori possono scegliere tra SSE-S3, SSE-KMS o SSE-C in base alle loro esigenze.

È possibile convertire i PDF in locale senza caricare nulla in rete?

Presentando i migliori strumenti per modificare PDF, abbiamo proposto una serie di software che funzionano in locale, sollevando gli utenti dalla necessità di caricare documenti importanti su server remoti gestiti da soggetti potenzialmente sconosciuti.

Per diventare veri e propri boss nell’elaborazione di documenti PDF, potete utilizzare anche il software libero e open source Stirling-PDF. Si tratta di un’applicazione davvero completa e innovativa che semplicemente allestendo un container Docker permette di gestire qualunque tipo di operazione sui file PDF.  Stirling-PDF è un tool da urlo per modificare PDF e convertirli in Word da browser e in locale, senza condividere un singolo byte online.

Dopo aver avviato Stirling-PDF, ci si troverà dinanzi a un’unica pagina Web per l’accesso facilitato all’intera gamma di strumenti per l’elaborazione dei file in formato PDF.

Credit immagine in apertura: iStock.com – VectorMine