Migliaia di carte di credito, con tanto di ogni dettaglio, a libera disposizione nella cache di Google. E non serve neppure andarle a cercare, se è vero che basta un Alert ricevuto via mail per mettere a disposizione tanto ben di Dio. E non trattasi nemmeno di una vera e propria vulnerabilità, ma soltanto di una debolezza intrinseca ad un sistema che tutto fagocita e nulla dimentica, il che è al contempo forza e debolezza del motore leader nel settore. Ma migliaia di utenti avrebbero potuto farne le spese.
Il processo è tanto banale quanto pericoloso. Un gateway di pagamento ha chiuso i battenti ed il sito defunto è rimasto online con tanto di ogni dato conservato nel database. Per un qualche arcano motivo Google ha penetrato i meccanismi di (in)sicurezza del sito ed ha indicizzato tutti i dati ivi contenuti. Nel momento in cui il sito è scomparso, i dati sono comunque rimasti all’interno della cache del motore fin quando un Alert non ha segnalato ad un utente australiano come un certo nome fosse stato trovato sul motore (un vecchio report Slashdot rivelò peraltro già in passato ulteriori sistemi utili per scavare nella memoria del motore alla ricerca di informazioni di questo tipo).
A questo punto il collegamento è stato rapido: è bastato un click per accedere all’incredibile banca dati da 22 mila numeri di carta (Visa, Mastercard, American Express, Solo, Switch, Delta e Maestro/Cirrus, con tanto di date di scadenza e codici di sicurezza, 19 mila delle quali potenzialmente ancora attive), quindi la segnalazione su di un forum per verificare con altri la bontà della scoperta. Oggi il thread è chiuso e l’avviso indica chiaramente l’intervento delle delle forze dell’ordine per evitare che la segnalazione potesse divenire un comodo viatico per malintenzionati.
L’anonimo scopritore avrebbe segnalato immediatamente l’accaduto a Visa e Mastercard, i due brand maggiormente esposti. Siccome nessuna risposta è mai tornata al mittente, la segnalazione è stata girata alla Polizia, da cui sono partite le indagini. Contattati da ITnews, i responsabili Visa avrebbero garantito massima attenzione al problema: «stiamo approfondendo questa segnalazione con la massima priorità, ma è troppo presto per lasciare ogni ulteriore commento». In assenza di url risulta altresì impossibile verificare se Google conservi ancora in cache la banca dati scoperta. E, alla luce del modo in cui il tutto è maturato, sarà altresì difficile identificare ed attribuire delle responsabilità specifiche, con il rischio che il danno possa andare in archivio senza un colpevole.