Se c’è un tipo di servizio online che siamo soliti usare quotidianamente, questo è sicuramente quello dei convertitori di file, specialmente per quanto riguarda i file PDF. Questi servizi che permettono con una manciata di click di cambiare il formato del proprio documento, però, in alcuni casi nascondono dei “segreti informatici” poco piacevoli da svelare.
Come individuato dalla testata estera CyberNews, sarebbero ben due i nuovi servizi online di conversione di file ad essere finiti nella “lista nera”: i due siti in questione, infatti, trasferiscono i file caricati per la conversione all’interno di un bucket Amazon S3, diventando così fruibili anche dagli altri utenti. Scopriamo insieme il nome dei due servizi.
il lato oscuro dei convertitori di PDF online
Come riportato all’interno del report pubblicato dai ragazzi di CyberNews, PDF Pro e PDF Help sarebbero i due servizi incriminati. I rischi legati alla diffusione dei file caricati, come potrete ben immaginare, sono innumerevoli:
“Con l’accesso ai documenti personali, i criminali possono intraprendere diverse attività fraudolente come richiedere prestiti, affittare proprietà o acquistare oggetti costosi utilizzando l’identità della vittima.“
Secondo la ricerca condotta dalla testata, i file disponibili all’interno del bucket sopracitato, derivanti dall’utilizzo dei due servizi in questione, sfiorerebbero le 90’000 unità.
Una questione di cyber security
Il report di CyberNews termina con la presentazione delle schermate dei due siti, che figurano con impostazioni talmente simili da sembrare realizzati dallo stesso utente, intimando i due servizi all’interruzione. Al momento, nessuno dei siti ha risposto alle accuse.
“Abbiamo anche contattato i convertitori online in questione per ottenere una dichiarazione ufficiale, ma non abbiamo ancora ricevuto risposta. Ciò è un problema perché chiunque può avere accesso al bucket e gli utenti ignari stanno continuando ad utilizzare questi pericolosi servizi.”
Cosa possiamo fare noi utenti per difenderci da questi malintenzionati digitali? In verità, la testata ha dei suggerimenti da dare ai gestori del bucket “aperto” in questione:
Il team offre diversi suggerimenti per attenuare la perdita ed evitare che incidenti simili si ripetano in futuro:
– Limitare immediatamente l’accesso pubblico al bucket
– Modificare la policy del bucket e gli elenchi di controllo degli accessi (ACL) per limitare l’accesso solo agli utenti o alle applicazioni autorizzati
– Assicurarsi che tutti gli oggetti nel bucket siano impostati come privati o che siano configurati controlli di accesso appropriati
– Abilitare la crittografia lato server sul bucket per proteggere i dati a riposo. Gli amministratori possono scegliere tra SSE-S3, SSE-KMS o SSE-C in base alle proprie esigenze
