Tutti i servizi sicuri si assomigliano; ogni servizio insicuro è insicuro a modo suo. E se il servizio è qualcosa che ha a che fare con il DNA delle persone, allora l’allarme è giocoforza alto. Se poi il servizio raccoglie i dati di milioni di utenti, come nel caso di MyHeritage , allora è necessario riflettere approfonditamente sulla reale consapevolezza che si ha circa la strutture che conservano i dati più sensibili che una persona possa avere, quello che di fatto è il codice sorgente della propria vita.

MyHeritage e simili

MyHeritage è un servizio con sede in Israele, simile a molti altri attivi nell’analisi e nella scansione del DNA tramite un piccolo campione derivante dalla saliva delle persone che vogliono sottoporsi a questo esame. Si tratta di un servizio a pagamento che, per poche decine di dollari, consente di mettere il DNA a disposizione di un database da cui ricavarne possibili mutazioni pericolose, possibili legami ancestrali con altre persone (lontani parenti legati da chissà qual legame) ed altre informazioni di questo tipo. La curiosità per l’utente è abnorme, poiché significa mettere il proprio codice sorgente a disposizione di esperti in grado di ricavarne informazioni sulla base di confronti con altri DNA. Il tutto all’interno di database sempre più corposi. Tra i competitor di MyHeritage val la pena ricordare 23andMe , l’omologo servizio fondato da Anne Wojcicki, ex-moglie di Sergey Brin (fondatore di Google), in un connubio che in quanto a dati sensibili avrebbe molto da dire.

92 milioni di account violati

È notizia di questi giorni che oltre 92 milioni di account MyHeritage sarebbero stati violati , ritrovati su un server privato. Val la pena pensare al numero nella sua esattezza, poiché ogni singola unità è relativa al DNA di una singola persona, un singolo essere umano, nel cui DNA vi sono peraltro forti tracce di tutti i parenti più prossimi: 92 milioni, 283 mila e 889 persone in tutto.

La scoperta è avvenuta a seguito di una mail giunta al Chief Information Security Officer del gruppo da un ricercatore esterno, il quale ha notificato la presenza su un server esterno di un file contenente l’indirizzo email e una password di ognuno degli account in oggetto. Il fatto è grave di per sé, poiché significa che esiste la possibilità che un cracker remoto possa mettere mano ad un database tanto sensibile quanto quello della banca dati MyHeritage. A onor del vero, però, va detto che il gruppo ha fatto molto per poter assicurare massima sicurezza agli utenti: il modo in cui è stata trattata la password in chiaro (tramite hashing e con una preventiva aggiunta di caratteri in grado di rendere ancor più ostica ogni ricerca inversa), infatti, garantisce che la password reale dell’account non possa essere scoperta. Sebbene il file ritrovato contenga password, quindi, gli account rimangono del tutti sicuri, anche se la password usata è magari una elementare combinazione di date note o il nome del proprio cagnolino (esempio non casuale, visto che si tratta di un caso comune che ha colpito anche VIP in celebri casi di immagini trafugate in passato).

MyHeritage ha immediatamente messo a disposizione tutte le informazioni disponibili sul caso, ha indicato i riferimenti presso cui rivolgersi per ottenere dettagli aggiuntivi ed ha ricordato quali siano le procedure utilizzate per garantire la sicurezza degli account. Da parte dell’azienda, dunque, nulla da eccepire, se non ovviamente la grave presenza dei dati su un server sui quali non avrebbero dovuto essere: cosa è successo?

La piena consapevolezza dell’importanza di proteggere i propri dati , a maggior ragione quando di mezzo ci sono informazioni sensibili come il proprio DNA, i propri “bug” e le proprie relazioni di sangue con altre persone, è un aspetto ulteriore di fondamentale importanza: solo una radicata e diffusa cultura della sicurezza può completare il lavoro che legislatore e aziende producono per garantire servizi e privacy. Si tratta di un ecosistema complesso e organico del quale ogni singolo utente fa parte, ove il pieno rispetto del diritto deve giocoforza corrispondere ad un pieno assolvimento del dovere.