Cosa ci insegna il caso Mixpanel e perché è tutto un tema di fragilità strutturale della rete fatta di subfornitori, cloud e servizi interconnessi di Andrea Monti – inizialmente pubblicato su La Repubblica-Italian Tech
Lo scorso weekend OpenAI ha annunciato sul proprio blog che Mixpanel, un data analytics provider che per conto dell’azienda governata da Altman raccoglie ed elabora dati generati dall’uso della Application Programmi Interface (API) —funzionalità software che consentono a terminali come smartphone, laptop e PC di dialogare dinamicamente con i server che forniscono servizi di elaborazione dati— ha subito una esfiltrazione di dati.
Niente rischi per gli utenti
OpenAI ha precisato che l’evento non ha riguardato i sistemi sotto il proprio controllo diretto e che non sono stati compromessi i dati degli utenti e quelli sull’utilizzo che fanno della piattaforma. In altri termini, gli autori dell’attacco non avrebbero avuto accesso alle credenziali di accesso, alle copie dei documenti di identità, ai dati di pagamento e, cosa non meno importante, ai contenuti delle chat. Sarebbero stati invece oggetto di “fuga” i dati relativi agli utenti che interagiscono tramite API come nome, email, città, Stato e Paese di localizzazione rilevati tramite il browser.
Niente (purtroppo) di nuovo sotto il sole
In sé, almeno stando alla comunicazione ufficiale di OpenAI, l’evento non è nulla di particolarmente grave ma, soprattutto, non è nulla di nuovo. Periodicamente, infatti, questa o quella azienda, non solo fra Big Tech, subisce le conseguenze di quello che viene chiamato “supply-chain attack”, cioè attacco al (sub)fornitore.
La traduzione italiana è certamente meno alla moda, ma spiega chiaramente cosa è accaduto e perché questo tipo di eventi sono sostanzialmente inevitabili: sono veramente pochi —se non addirittura inesistenti— i servizi che funzionano su un’infrastruttura sotto il controllo totale di chi li offre e dunque si estende la possibilità di colpire il “bersaglio grosso” partendo da obiettivi meno difficili da attaccare.
Il paradosso dell’integrazione
Anche volendosi mantenere al minimo sindacale, per esempio, una piattaforma potrebbe ricorrere a un fornitore di server virtuali che utilizza un subfornitore di servizi di virtualizzazione che a propria volta si serve un subfornitore di server fisici che a propria volta li installa in un data-centre che appartiene a un soggetto ancora diverso. Inoltre, se i servizi sono erogati in cloud questa infrastruttura può essere replicata in diversi luoghi.
Come se non bastasse, ad ogni anello di questa catena si agganciano orizzontalmente altri servizi, da quelli di cybersecurity a quelli —come nel caso di Mixpanel— di analytics che a loro volta possono essere strutturati secondo lo schema verticale appena illustrato.
Se a questo aggiungiamo che nella Big Internet ci sono operatori come Google, Cloudflare e Amazon Web Services che raccolgono quantità significative di servizi, è chiaro che la incidenti, negligenze o azioni criminali che colpiscono un punto remoto dell’infrastruttura possono avere conseguenze imprevedibili.
Il prezzo di una scelta industriale
Questo modello tecnologico è frutto di una precisa strategia industriale che si è consolidata nel corso degli anni e che si è ampliata a dismisura, come dimostra l’analisi dei cookie e dei tracker che vengono inviati quotidianamente ai nostri computer. Questi pezzi di codice, infatti, non indicano soltanto chi sta raccogliendo informazioni sul nostro uso della rete, ma ci dicono anche quanti soggetti sono coinvolti in questa attività.
La conseguenza è inevitabile: più i servizi vengono integrati, più aumenta la probabilità che da qualche parte uno o più anelli cedano, trascinando con loro tutto quello che da loro pende, con delle conseguenze che sono il più delle volte estese in mezzo mondo, come dimostrano i casi di infezioni da ransomware, che non accennano a diminuire e gli incidenti causati da qualche svista come nel recente caso di Cloudflare o in quello di Crowdstrike accaduto qualche tempo fa.
La geopolitica dei servizi distribuiti
La vulnerabilità di questo modello di organizzazione dei servizi di piattaforma, tuttavia, non è (solo) tecnologica ma soprattutto geopolitica. La dipendenza inevitabile da fornitori che operano in più luoghi del mondo e non necessariamente tutti appartenenti alla stessa area di influenza trasforma questi soggetti in bersagli appetibili visto che al diminuire delle loro dimensioni, si riducono anche i budget —e la cura— da riservare alla sicurezza dei sistemi. Anche se meno drammatico, il tema, per capirci, è esattamente lo stesso dei subappalti nel settore dell’edilizia dove l’allungamento della filiera dei fornitori si traduce in una minore attenzione per l’incolumità delle persone che, loro malgrado, rischiano e perdono la vita.
L’inutilità delle norme sulla protezione dei dati
Ogni volta che si verifica un attacco criminale alla catena dei fornitori o quando una negligenza causa interruzioni di servizi e perdita di dati il riflesso condizionato è “chiedere scusa”, interrompere i rapporti con il fornitore coinvolto e annunciare un “irrobustimento delle misure di sicurezza”.
Nessuno, però, affronta il tema di fondo: il sostanziale fallimento del modo in cui sono strutturati gli obblighi giuridici di proteggere i dati (personali) e la loro incapacità di incidere seriamente su modelli industriali consolidati.
Per anni, almeno all’interno della UE, siamo stati sommersi da “analisi del rischio”, “security policy”, informative, richieste di consenso e “comunicazioni di data-breach”. Oggi, ulteriori regolamenti come quello sulla resilienza o il DORA, che riguarda i servizi finanziari e assicurativi, aggiungono ulteriori adempimenti.
Una soluzione alternativa
È abbastanza chiaro che l’approccio normativo per garantire la sicurezza delle infrastrutture basato sull’imposizione di oneri sostanzialmente burocratici ha dimostrato di essere inefficace.
E allora, forse, varrebbe la pena di cominciare a pensare in termini di responsabilità diretta di chi offre un servizio a cittadini, istituzioni e imprese, che dovrebbe essere consapevole di non potersela cavare con un semplice “mi disipiace”.
Possibly Related Posts:
- Cosa significa la decisione del Giappone di dare al primo ministro il controllo dell’intelligence
- La Cina sta creando una società dove robot e umani convivono
- Il figlio usa lo smartphone per registrare atti osceni. I giudici indagano il padre
- Il ruolo dell’internet governance: chi decide cosa
- Come funziona la Big Internet, fra architettura, protocolli e governance