I'm the creeper

E3 2019: online su ESA i dati di migliaia di partecipanti

Ancora una volta l’E3 ha portato con sè tante novità interessanti, ma quest’anno c’è stato qualcos’altro ad aver catturato maggiormente l’attenzione dei media: un leak di dati sensibili relativi a migliaia di partecipanti. Youtuber, giornalisti e analisti hanno visto le loro informazioni pubblicate sul sito di ESA, l’ente organizzatore della conferenza.

Nomi e cognomi, email, indirizzi e numeri di telefono disponibili pubblicamente e scaricabili con facilità. La lista, ora non più online, è rimasta accessibile fino al 2 Agosto. Considerando che la conferenza si è conclusa il 13 Giugno, i dati sono rimasti online e pubblici per quasi 3 mesi, senza che nessuno se ne accorgesse. Un tempo più che sufficiente per causare danni significativi.

Il leak

Un errore, un link che non doveva essere pubblico e che invece era facilmente raggiungibile. La storia ha dell’incredibile, soprattutto se si pensa al formato in cui i dati sono stati pubblicati: un semplice file XLS. La lista, utilizzata per i pass da fornire agli accreditati, era raggiungibile da un portale dell’E3. Oltre a questo, i dati non sono stati eliminati subito, nonostante una youtuber avesse segnalato la cosa già da qualche giorno.

La notizia resa nota da Sophia Narwitz.

Considerando quanto poco tempo impiega un contenuto ad essere condiviso e diventare virale ci si può immaginare l’entità delle conseguenze. Se sul sito di ESA il file non è più reperibile, è però possibile trovarlo su forum ed è facilmente scaricabile.

Tante vittime hanno già comunicato di aver ricevuto chiamate e messaggi, alcuni anche di minacce, soprattutto per i giornalisti più esposti mediaticamente. Si parla di più di 2000 accreditati: tutte persone andate lì per lavoro, che si sono viste violare la loro privacy in maniera plateale.

Cosa rischia l’ESA

Secondo l’avvocato Shaq Kalaka le vittime potrebbero valutare una class action, considerando l’entità estremamente personale delle conseguenze. Si parla infatti di molestie, e questo potrebbe facilitare la progressione del caso: nella quasi totalità di data breach, infatti, è molto difficile arrivare fino in fondo e ottenere un qualche risarcimento, in quanto non è facile dimostrare che c’è effettivamente un danno alla persona.

La lettera di scuse da parte di ESA, inviata a tutti gli accreditati all’E3. Credits: leganerd.com

In questo caso invece, data la sensibilità dei dati resi pubblici (tra questi più di tutti gli indirizzi di casa, che fanno preoccupare molti giornalisti per la loro incolumità fisica) ci sarebbero più possibilità di successo. Ciò inoltre creerebbe un precedente importante che per i casi futuri potrebbe spostare l’ago della bilancia.

Poiché il sito era raggiungibile anche dall’Unione Europea e nella lista vi erano anche le informazioni di giornalisti europei, l’ESA potrebbe dover pagare una multa per aver violato il GDPR. L’importo massimo è di 20 milioni di euro, o alternativamente il 4% delle entrate dell’azienda, a seconda del maggiore dei due. Su questo però non c’è ancora chiarezza: per il verdetto si aspetta il termine delle indagini.

Published by
Marina Londei