Uno studio condotto da due esperti tedeschi nel campo della sicurezza informatica, Martin Tschirsich e André Zilch, ha rivelato l’esatto luogo in cui si trovano alcune opere d’arte vendute attraverso il sito web della dimora d’asta britannica Christie’s.
Secondo quanto riportato dal Washington Post, centinaia di clienti che si affidano ai servizi della dimora d’asta sono stati esposti a una vulnerabilità spesso poco considerata dagli utenti: le coordinate Gps. Il sito web di Christie’s è infatti una vetrina che permette di vendere opere d’arte in tutto il mondo semplicemente caricandone una o più foto che la ritraggono.
Le immagini non sono però l’unico elemento che viene veicolato dal computer o dal telefono dell’utente: con esse sono condivise anche le coordinate Gps del luogo in cui sono state scattate, informazioni molto precise che possono rivelare un indirizzo o la localizzazione di un edificio. Secondo i ricercatori, il 10% delle foto presenti sul portale di Christie sono accompagnate dalle esatte coordinate.
Alla fine di luglio l’agenzia per la cybersicurezza e la sicurezza delle infrastrutture statunitense (Cisa) ha messo in guardia sia gli utenti sia il pubblico generale sul tipo di vulnerabilità emersa dallo studio condotto dai due ricercatori. Le informazioni che potenzialmente possono essere estratte da fotografie di questo tipo non sono unicamente relative alla geolocalizzazione dell’opera d’arte, ma anche dell’utente che ha intenzione di venderla. Come segnalato dall’agenzia governativa, eventuali attaccanti potrebbero impossessarsi anche di informazioni personali, finanziarie e sanitarie di milioni di utenti e consumatori. I due ricercatori si sono resi conto della facilità con la quale poteva essere sfruttata la vulnerabilità sin da subito.
Al momento non è chiaro se Christie’s abbia informato i clienti della vulnerabilità rivelata dai ricercatori. L’utente intervistato dal Washington Post ha dichiarato di non essere stato contattato da Christie’s, mentre i due ricercatori hanno confermato al giornale di aver avvisato la dimora d’asta subito dopo aver riscontrato la vulnerabilità a giugno scorso.
Un aiuto dalla ricerca
Tschirsich e Zilch si sono offerti per aiutare la società a risolvere il problema, senza successo. Non è infatti inusuale che le aziende (soprattutto tecnologiche) che si trovano a fare i conti con questioni di cybersecurity paghino un compenso a coloro che le fanno emergere. Questo poiché le informazioni che possono essere esfiltrate approfittando di una vulnerabilità possono essere poi vendute sul mercato nero.
In questo caso dati di geolocalizzazione così precisi potrebbero permettere a cacciatori di opere d’arte illegali o qualsiasi persona interessata di trovare quadri o oggetti di valore sottraendoli al proprietario. Il lavoro dei due ricercatori ha portato in passato all’identificazione di altre vulnerabilità che mettevano a rischio i dati sanitari di alcuni pazienti residenti in Germania, così come nel software utilizzato dallo stato per il conteggio dei voti alle elezioni politiche. In entrambi i casi avevano contattato le organizzazioni competenti per informarle del problema, per poi studiarlo e offrire gratuitamente una soluzione.
Leggi tutto su www.wired.it
di Laura Carrer www.wired.it 2023-08-22 14:25:53 ,