Blind è un social network, una ‘comunità’ anonima, che cerca di ridefinire il futuro della cultura aziendale. Infatti, è costituito da 70.000 aziende e migliaia di start-up. Crudo e filtrato, si pone come contrario della visione ideale delle risorse umane di una cultura aziendale, organizzabile e ben ordinata.
Breve Excursus su Blind
Opera al di fuori delle strutture classiche dell’IT. Non ha regole. Non vi è una supervisione aziendale ufficiale. Gli utenti sono anonimi. Per entrate a fare parte di un canale aziendale, è richiesto l’invio di una e-mail.
Recentemente, però, sembra che uno dei suoi server sia stato esposto senza password: chiunque può aver provato ad accedere alle informazioni private dell’account di qualsiasi utente.
L’azienda nasce in Corea del Sud. Nel 2015 sbarca negli Stati Uniti: qui è diventata il social network anonimo più popolare del Mondo, e un punto di riferimento per le principali aziende tecnologiche, quali Apple, Facebook, Google, Microsoft, Twitter, e Uber. La fama di questo Social, paradossalmente, è aumenta, solo quando gli sono stati attribuiti diversi scandali, tra questi quello che ha suscitato maggiore interesse è quello legato alle rivelazioni di molestie sessuali a Uber. Questo fatto ha portato l’azienda a bloccare l’applicazione sulla sua rete aziendale.
La sicurezza: aspetto negativo
Il server esposto è stato individuato da Mossab H., un ricercatore specializzato in sicurezza: con precisione, i parametri di sicurezza erano scaduti. Blind ha cercato di rassicurare i suoi utenti affermando che l’esposizione avrebbe interessato solo gli utenti che si erano registrati o che avevano effettuato l’accesso tra il primo novembre e il 19 dicembre. Comunque sia, l’esposizione si riferirebbe a “un singolo server, uno tra i molti server sulla piattaforma”, scrive Kyum Kim in una e-mail . “Durante lo sviluppo di uno strumento interno per migliorare il nostro servizio per i nostri utenti, siamo venuti a conoscenza di un errore che ha esposto i dati degli utenti”, ha detto l’executive Blind agli utenti interessati. Non ci sono “prove” che il database sia stato sottratto o utilizzato impropriamente. Da cosa deriva questa conclusione? Blind permette agli utenti di registrarsi alla piattaforma utilizzando l’indirizzo e-mail aziendale, che si dice sia collegato solo all’ID membro di Blind. Gli indirizzi di posta elettronica sono “utilizzati solo per la verifica”, e non vengono assolutamente sono memorizzati sui suoi server.Ma dopo aver esaminato una parte dei dati esposti, alcune affermazioni della società non reggono.In realtà sembra che tale database fornisse un flusso in tempo reale di accessi utente, post di utenti, commenti e altre interazioni, consentendo a chiunque di leggere commenti e post privati. Il Team del Social si difende sostenendo che in realtà le informazioni relative ad ogni account “sono sicure, poiché la nostra infrastruttura brevettata è configurata in modo tale che tutte le informazioni sull’account utente e sull’attività siano completamente disconnesse dal processo di verifica della posta elettronica.” E continua: “Ciò significa in effetti che non c’è modo di tracciare la tua attività su Blind a un indirizzo email, perché anche noi non possiamo farlo. Blind afferma che il database non mostra alcuna mappatura degli indirizzi email ai nickname “. Anche se la società ha lavorato molto per dissociare gli indirizzi e-mail dalla sua piattaforma, i record di accesso nel database memorizzano anche i token di accesso all’account utente, e sono quei token che di recente hanno messo a rischio gli account Microsoft e Facebook.
La conclusione è pertanto solo una: l’esposizione del database mette a rischio le informazioni relative ad ogni utente, che si è fidato dell’applicazione. In realtà, tutti sono sempre stati a conoscenza che tale applicazione era quasi completamente non criptata e accessibile.
