I servizi di storage online non sarebbero così sicuri come dichiarano di essere. Lo sostengono ricercatori accademici belgi ed alcuni studiosi dell’istituto francese Eurecom dopo aver posto sotto esame ben 100 servizi di “file hosting” online.
Secondo gli esperti, una “larga percentuale” di tali servizi produrrebbe degli “identificatori” facilmente prevedibili e quindi semplici da aggredire. “Sebbene questi servizi di file hosting sottolineino la segretezza degli URI generati e l’impossibilità, per un utente qualunque, di indovinarli, il nostro studio ha messo in evidenza come le cose siano, in realtà, ben diverse“, si legge nel resoconto da poco distribuito pubblicamente. “Utenti terzi, non autorizzati, possono essere in grado di risalire agli URI “segreti” avendo così la possibilità di accedere facilmente ai contenuti prodotti e caricati online da altre persone“.
Stando a quanto rivelato dai ricercatori, uno dei metodi più semplici per mettere le mani su dei documenti privati, consiste nel caricare online una serie di file di test annotando l’identificativo univoco assegnato dal servizio di file hosting. Utilizzando tali informazioni, gli studiosi sono stati in grado di risalire agli identificativi attribuiti ai file precedentemente caricati da parte di altri utenti.
“Il livello di privacy offerto da 20 provider è risultato essere estremamente debole dal momento che sfrutta esclusivamente un ID sequenziale per proteggere i dati inviati dagli utenti“, continua il report franco-belga. “Purtroppo la vulnerabilità è davvero molto seria dal momento che la lista dei servizi di hosting affetti dalla problematica include anche nomi famosissimi“.
Nel corso di un mese di test, i ricercatori sarebbero riusciti a mettere le mani su qualcosa come 168.000 file altrui.
A volte le ricerche accademiche possono essere un tantino distanti dalla realtà: non sembra essere questo il caso. Gli autori della scoperta (consultabile cliccando qui), hanno infatti evidenziato come gli aggressori paiano essere già a conoscenza delle falle.
Pubblicando alcuni “file-esca” sui siti di hosting, gli accademici hanno infatti rilevato come tali elementi siano stati indubbiamente scaricati anche da persone non autorizzate: circa 80 indirizzi IP unici avrebbero, nel corso di un mese, “sbirciato” i file privati caricati “in the cloud“. All’interno dei “file-esca” erano stati inseriti dati fasulli relativi a carte di credito inesistenti. Risultato? Si sono registrati, complessivamente, 275 accessi sconosciuti su sette differenti servizi di file hosting.