Alcune organizzazioni nascono proprio per essere esclusive. Sono accessibili solo su invito e discrete: quel tipo di luoghi in cui l’elenco dei soci è il prodotto vero e proprio.
Dialog, la rete esclusiva fondata dall’investitore miliardario e PayPal Peter Thiel, che annovera tra i propri membri un comandante della NATO in carica, due senatori statunitensi e il segretario al Tesoro degli Stati Uniti, è una di queste.
La settimana scorsa, le informazioni relative a centinaia di questi utenti erano disponibili in chiaro sul sito di distribuzione dell'app, visibili a chiunque sapesse come fare clic con il tasto destro del mouse. Successivamente, Dialog ha dichiarato di essere stata vittima di un attacco hacker.
Una pagina di registrazione che portava direttamente ai file dei membri
Il sito era stato creato per distribuire un'app per smartphone a supporto di un evento imminente organizzato dalla rete, che si occupa di organizzare incontri di alto livello. Qualsiasi visitatore poteva registrarsi utilizzando un indirizzo e-mail qualsiasi. Non veniva richiesta alcuna password.
Dopo aver inviato un’e-mail, il visitatore è stato reindirizzato a una pagina di attesa quasi vuota che, secondo quanto riferito, caricava direttamente nel browser file interni relativi a circa 200 personaggi di spicco. Tali file erano visibili utilizzando “strumenti integrati in tutti i principali browser”, un’espressione che sembra riferirsi agli strumenti di sviluppo integrati nel browser.
Quei file non erano di dimensioni ridotte. L’apertura dei moduli del questionario ha rivelato date di nascita, contatti di emergenza, numeri di cellulare, le tendenze politiche attribuite da Dialog ai propri membri, classifiche interne e note di valutazione, nonché le chiavi digitali utilizzate dai membri per l’accesso. Per quasi tutti loro, i dati esposti erano completi, dalle informazioni di contatto private fino ai token di accesso attivi.
I documenti includevano anche un attuale funzionario dei servizi segreti della Casa Bianca, un generale in pensione che aveva ricoperto un ruolo di alto livello nei servizi segreti statunitensi e i responsabili delle politiche di sicurezza nazionale di due importanti aziende specializzate in intelligenza artificiale. Dialog assegna inoltre, in via riservata, un punteggio ai partecipanti, tenendo conto del loro patrimonio e della loro notorietà nelle decisioni relative all’ammissione, all’assegnazione dei posti e ai prezzi. Tali punteggi figuravano tra le informazioni contenute nel codice HTML pubblico.
Dialog sulla difensiva
L'amministratore delegato di Dialog ha definito l'accesso un attacco hacker
«commesso da un noto criminale ricercato negli Stati Uniti».
WIRED, che ha dato la notizia in anteprima, non ha trovato alcuna prova che fosse necessaria un’intrusione nel sistema. Anzi, sembra che sia bastato semplicemente cliccare su un link presente in una pagina web.
I moduli sono stati creati utilizzando Fillout, un popolare strumento online per la creazione di moduli. I dati sono stati archiviati su Airtable, una piattaforma di database cloud ampiamente utilizzata. Fillout ha dichiarato di non essere a conoscenza di alcuna violazione dei propri sistemi e ha sottolineato che i clienti sono responsabili della configurazione dei propri moduli, delle fonti di dati collegate e dei flussi di lavoro.
Dialog non ha specificato quando la pagina configurata in modo errato sia stata pubblicata per la prima volta, il che significa che i dati degli iscritti potrebbero essere stati accessibili a tutti per un periodo di tempo indeterminato prima che la situazione venisse scoperta.
La configurazione errata dei sistemi di sicurezza occupa ora il secondo posto nella classifica OWASP Top 10 del 2025, ovvero l’elenco dei principali rischi per la sicurezza delle applicazioni stilato dal settore. È salita dal quinto posto che occupava nel 2021. Questa categoria rappresenta oltre 719.000 delle vulnerabilità di sicurezza documentate.
Anche la soluzione è semplice: create sistemi dotati solo delle funzionalità di cui avete bisogno e configurateli in modo sicuro.
Cosa significa questo per tutti noi
Il modo in cui le organizzazioni descrivono gli incidenti ha un’importanza che va oltre la singola violazione. Se il semplice accesso a informazioni disponibili pubblicamente viene sistematicamente etichettato come “attacco hacker”, i ricercatori nel campo della sicurezza potrebbero diventare più riluttanti a indagare e a segnalare in modo responsabile i sistemi esposti, lasciando che le configurazioni errate rimangano inosservate più a lungo.
Per gli utenti finali, la lezione è più antica di Internet. Se un’organizzazione raccoglie la tua data di nascita, i tuoi contatti di emergenza e una valutazione riservata del tuo valore per loro, chiedi dove vengono conservati quei dati. Qualsiasi risposta che includa “il nostro sito web” merita una seconda domanda, e qualsiasi risposta che si limiti a “prendiamo molto sul serio la tua sicurezza” merita ulteriori approfondimenti.
