Server con dati aziendali Rockerbox Tax esposti 286 GB di record

È emersa una violazione dei dati presso Rockerbox, una società di consulenza in materia di crediti d'imposta con sede in Texas, Stati Uniti. Il ricercatore di sicurezza informatica Jeremiah Fowler ha recentemente scoperto un database non protetto da password che evidenziava una significativa falla nella sicurezza, i cui risultati sono stati pubblicati da vpnMentor e condivisi con HackRead.com.

Rockerbox, identificata come una società di consulenza sui crediti d'imposta, aiuta le aziende degli Stati Uniti a identificare e gestire gli incentivi fiscali incentrati sui datori di lavoro attraverso programmi come il Work Opportunity Tax Credit (WOTC), l'Employee Retention Tax Credit (ERTC), i crediti per ricerca e sviluppo e i crediti Empowerment Zone.

L'esposizione ha coinvolto ben 245.949 record, per un totale di 286,9 GB di dati. Questo ampio set di dati comprendeva varie forme di informazioni personali identificabili (PII), tra cui nomi completi, date di nascita (DOB), numeri di previdenza sociale (SSN) e indirizzi di residenza.

Per vostra informazione, le informazioni PII sono informazioni che possono identificare un individuo, direttamente o indirettamente, mentre il codice fiscale è un identificatore univoco di nove cifre utilizzato per monitorare i guadagni e per vari scopi governativi negli Stati Uniti.

Secondo il rapporto di Fowler, i documenti esposti contenevano anche documenti di identità sensibili, come patenti di guida e moduli DD214, ovvero certificati di congedo o di esonero dal servizio attivo rilasciati dal Dipartimento della Difesa degli Stati Uniti, che fungono da documentazione ufficiale del servizio militare prestato da un veterano.

Inoltre, è stata compromessa un'ampia gamma di materiale relativo al lavoro e alle tasse. Tra questi, domande di ammissione a programmi di credito d'imposta, insieme a lettere ufficiali di accettazione o diniego, spesso contenenti intricati dati finanziari e personali. Sebbene ad alcuni file sia stato negato l'accesso, molti documenti erano facilmente accessibili a chiunque avesse accesso a internet.

Persino alcuni file PDF protetti da password mostravano i nomi dei file esposti, rivelando informazioni personali come i nomi di datori di lavoro e candidati. Fowler ha evidenziato il rischio teorico che le parti numeriche di questi nomi di file potessero contenere password, sconsigliando di incorporare tali dati.

Rockerbox, nota per aver aiutato le aziende statunitensi con incentivi fiscali in settori come la ristorazione e l'ospitalità, la sanità, la produzione, la lavorazione alimentare e l'artigianato, ora si trova ad affrontare un esame approfondito per la sua gestione dei dati. La vasta esposizione crea un potenziale significativo per attacchi di phishing mirati, furto di identità e frodi finanziarie , poiché i malintenzionati potrebbero sfruttare questa profonda riserva di informazioni personali e finanziarie per ottenere profitti illeciti.

Fowler informò immediatamente Rockerbox e il database fu successivamente messo in sicurezza e vietato al pubblico diversi giorni dopo. Tuttavia, non è pervenuta alcuna risposta al suo avviso di divulgazione responsabile. Inoltre, non è noto se il database fosse gestito direttamente da Rockerbox o da un appaltatore terzo, per quanto tempo sia rimasto esposto prima della scoperta, o se altre parti non autorizzate vi abbiano avuto accesso.

"Per le aziende e le organizzazioni che raccolgono e archiviano dati personali potenzialmente sensibili in repository di cloud storage, è fondamentale implementare misure di sicurezza adeguate per proteggere tali informazioni. Questo inizia con i controlli degli accessi e la limitazione di chi (sia all'interno che all'esterno dell'organizzazione) può visualizzare e manipolare quali informazioni", ha concluso Fowler.