N. 138/2023
LE TRE NEWS DI OGGI:
- USA, GIUDICE DEL FALLIMENTO DI FTX RESPINGE LA SFIDA DEI MEDIA E DICHIARA CHE I NOMI DEI CLIENTI POSSONO RIMANERE SEGRETI
- CANADA, CRESCONO LE PREOCCUPAZIONI PER L’APP TEMU
- USA, LA FALLA NELLA SICUREZZA DI SHELL RECHARGE HA MESSO A RISCHIO I DATI DEI CONDUCENTI DI VEICOLI ELETTRICI
Un giudice fallimentare del Delaware ha stabilito venerdì scorso che i nomi dei singoli clienti della borsa di criptovalute FTX Trading, ormai fallita, possono essere protetti in modo permanente dalla divulgazione pubblica. Al termine di un’udienza durata due giorni, il giudice John Dorsey ha respinto le argomentazioni degli avvocati di diversi media e del curatore fallimentare degli Stati Uniti, che funge da cane da guardia del governo nei casi di riorganizzazione del capitolo 11, che contestavano la richiesta di FTX di mantenere segreti i nomi dei clienti e dei creditori. Dorsey ha stabilito che le identità dei clienti costituiscono un segreto commerciale. Ha inoltre affermato che i clienti di FTX devono essere protetti dai malintenzionati che potrebbero prenderli di mira setacciando Internet e il “dark web” alla ricerca delle loro informazioni personali. “Sono i clienti la questione più importante”, ha dichiarato. “Voglio assicurarmi che siano protetti e che non siano vittime di alcun tipo di truffa”. Katie Townsend, avvocato dei media, ha sostenuto che la stampa e il pubblico hanno un “interesse legittimo e impellente” a conoscere i nomi di coloro che sono stati colpiti dal crollo di FTX. “Quel crollo ha provocato onde d’urto non solo nel settore delle criptovalute, ma nell’intero settore finanziario”, ha dichiarato Townsend. “E a questo punto non sappiamo nemmeno dove le onde d’urto, sia a livello individuale che istituzionale, abbiano colpito più duramente, e quali istituzioni possano avere la maggiore, o nessuna, esposizione come risultato”. Ma gli avvocati di FTX e del suo comitato ufficiale di creditori non garantiti sostengono che l’elenco dei clienti è sia un bene prezioso che un’informazione commerciale riservata. Sostengono che la segretezza è necessaria per proteggere i clienti di FTX da furti e potenziali truffe e per garantire che i potenziali concorrenti non “rubino” i clienti di FTX. FTX ritiene che il suo elenco di clienti potrebbe rivelarsi prezioso nell’ambito di una vendita di beni o di una riorganizzazione. “I debitori sono in grado di ricavare valore da questi elenchi di clienti”, ha dichiarato l’avvocato di FTX Brian Glueckstein. FTX è stata dichiarata in bancarotta a novembre, quando la borsa globale ha finito i soldi dopo l’equivalente di una corsa agli sportelli. Il fondatore Sam Bankman-Fried si è dichiarato non colpevole delle accuse di aver imbrogliato gli investitori e di aver saccheggiato i depositi dei clienti per fare acquisti immobiliari lussuosi, contributi alla campagna elettorale dei politici e operazioni rischiose presso Alameda Research, la sua società di trading di hedge fund di criptovalute. Tre ex dirigenti di FTX si sono dichiarati colpevoli di frode e stanno collaborando con gli investigatori.
Un’applicazione per lo shopping, che non esisteva quattro mesi fa, potrebbe cambiare dell’e-commerce, ma secondo gli esperti sta sollevando anche preoccupazioni sui rischi per la privacy dei dati dei canadesi. Negli ultimi due mesi Temu ha suscitato reazioni contrastanti da parte dei clienti in Canada e negli Stati Uniti. Il servizio di shopping è diventato di recente una delle applicazioni gratuite più scaricate del Nord America sia sull’App Store che su Google Play, grazie anche alla sua reputazione di offrire forti sconti su un vasto assortimento di prodotti, insieme all’opportunità di incentivare il credito attraverso incoraggianti offerte di iscrizione. Tuttavia, un esperto di sicurezza informatica avverte che Temu, come tutte le app di e-commerce che non rientrano nelle leggi canadesi sulla protezione dei dati, potrebbe rappresentare un rischio che un maggior numero di acquirenti dovrebbe valutare. “Nell’ultimo anno o giù di lì sono aumentate le preoccupazioni per lo spionaggio da parte di Stati stranieri”, ha dichiarato al telefono a CTVNews.ca Fred Nerenberg, consulente senior di sicurezza informatica presso una società canadese di sicurezza. “Ma quando si tratta dei dati delle persone, si perdono le proprie informazioni personali, le proprie abitudini di navigazione e i propri interessi a favore di un’azienda che può avere o meno legami con governi stranieri e i cui dati sarebbero soggetti alla proprietà di tali Stati”, ha spiegato. “Credo che quello che decidono di fare con questi dati sia un po’ in sospeso. È sotto un’altra giurisdizione”. Nerenberg ha detto che “un bel po’ di informazioni sulla vostra clientela” possono essere dedotte basandosi solo sulle abitudini di navigazione. Applicazioni come Temu, ha detto, possono raccogliere metadati che rivelano per quanto tempo i clienti hanno guardato determinati prodotti e quante volte hanno rivisitato determinate pagine. Questo può essere utilizzato per costruire profili di dati che consentono alle aziende di indirizzare con precisione le persone con annunci che presentano prodotti che saranno più inclini ad acquistare. Secondo Nerenberg, la minaccia potrebbe riguardare tutti i servizi di e-commerce con distribuzione internazionale. Secondo Forbes, una volta Target ha scoperto che una sua cliente adolescente era incinta prima del padre, sulla base dei suoi dati di navigazione online. “Queste aziende potrebbero teoricamente creare gli stessi profili. Quindi non è diverso da quello che fanno le aziende qui, ma come vengono usate queste informazioni dagli Stati esteri?”. Temu è un’emanazione di Pinduoduo, un gigante cinese dell’e-commerce. Come riportato dalla CNN, si è scoperto che Pinduoduo è in grado di aggirare il software di sicurezza mobile degli utenti per monitorare le attività su altre app, compreso il controllo delle notifiche e la lettura dei messaggi privati. Secondo un’indagine della CNN che ha coinvolto ricercatori di cybersicurezza in Asia, Europa e Stati Uniti, il malware dell’app Pinduoduo ha sfruttato le vulnerabilità di sicurezza dei sistemi operativi Android per ottenere l’accesso a dati normalmente non accessibili dalle app.
Il gigante petrolifero Shell ha dichiarato che sta indagando dopo che un ricercatore di sicurezza ha trovato un database interno esposto che diffondeva le informazioni personali degli automobilisti che utilizzano le stazioni di ricarica dei veicoli elettrici della società. Il ricercatore di sicurezza Anurag Sen ha trovato online un database che conteneva quasi un terabyte di dati di registrazione relativi a Shell Recharge, la rete mondiale di centinaia di migliaia di stazioni di ricarica per veicoli elettrici dell’azienda, acquisita in parte da Greenlots nel 2019. Greenlots forniva servizi e tecnologie di ricarica per veicoli elettrici (EV) a clienti che gestiscono flotte di veicoli. Il database interno, ospitato sul cloud di Amazon, conteneva milioni di registri, ha dichiarato Sen, compresi i dettagli sui clienti che utilizzavano la rete di ricarica EV. Il database non aveva password, consentendo a chiunque su Internet di accedere ai dati dal proprio browser web. I dati, visti da TechCrunch, contenevano nomi, indirizzi e-mail e numeri di telefono dei clienti delle flotte che utilizzano la rete di ricarica EV. Il database includeva i nomi degli operatori di flotte, che identificavano le organizzazioni – come i dipartimenti di polizia – con veicoli che si ricaricano sulla rete. Alcuni dei dati includevano i numeri di identificazione dei veicoli, o VIN. Sen ha detto che il database conteneva anche l’ubicazione delle stazioni di ricarica EV di Shell, compresi i punti di ricarica residenziali privati. Uno dei dati esposti, visto da TechCrunch, conteneva un indirizzo residenziale appartenente all’amministratore delegato di Greenlots, Andreas Lips. Non è chiaro cosa abbia portato a rendere pubblico il database, né per quanto tempo i dati siano stati resi pubblici, anche se alcune informazioni risalgono al 2023. Sen ha dichiarato di aver contattato Shell dopo aver scoperto il database esposto. TechCrunch ha allertato Shell dopo che Sen ha detto di non aver ricevuto risposta dall’azienda. Poco dopo aver contattato TechCrunch, il database è diventato inaccessibile. Anna Arata, portavoce della Shell, ha dichiarato a TechCrunch: “Shell ha preso provvedimenti per contenere e identificare l’esposizione dei dati di Shell Recharge Solutions. Stiamo indagando sull’incidente, continuiamo a monitorare i nostri sistemi informatici e adotteremo di conseguenza tutte le azioni future necessarie”. In precedenza, Sen ha trovato dati esposti appartenenti ad Amazon, Hotai Motor, PeopleGrove e JusTalk. All’inizio di quest’anno, Sen ha scoperto un database contenente email militari sensibili appartenenti al Comando delle operazioni speciali degli Stati Uniti.
English version
- U.S., JUDGE IN FTX BANKRUPTCY REJECTS MEDIA CHALLENGE AND DECLARES THAT CUSTOMER NAMES CAN REMAIN SECRET
- CANADA, CONCERNS GROW ABOUT TEMU APP
- U.S., SHELL RECHARGE SECURITY FLAKE HAS ENDANGERED ELECTRIC VEHICLE DRIVERS’ DATA
A Delaware bankruptcy judge ruled last Friday that the names of individual customers of the now-bankrupt FTX Trading cryptocurrency exchange can be permanently protected from public disclosure. At the end of a two-day hearing, Judge John Dorsey rejected arguments by attorneys for several media outlets and the U.S. bankruptcy trustee, who serves as the government’s watchdog in Chapter 11 reorganization cases, challenging FTX’s request to keep the names of customers and creditors secret. Dorsey ruled that customer identities constituted a trade secret. He also said that FTX’s customers must be protected from malicious attackers who might target them by scouring the Internet and the “dark web” for their personal information. “The customers are the most important issue,” he said. “I want to make sure they are protected and that they are not victims of any kind of scam.” Katie Townsend, media advocate, argued that the press and public have a “legitimate and compelling interest” in knowing the names of those affected by the FTX collapse. “That collapse caused shockwaves not only in the cryptocurrency sector, but in the entire financial sector,” Townsend said. “And at this point we don’t even know where the shockwaves, both individually and institutionally, hit the hardest, and which institutions may have the most, or no, exposure as a result.” But lawyers for FTX and its official committee of unsecured creditors argue that the client list is both a valuable asset and confidential business information. They argue that secrecy is necessary to protect FTX’s customers from theft and potential fraud and to ensure that potential competitors do not “steal” FTX’s customers. FTX believes that its customer list could prove valuable as part of an asset sale or reorganization. “Debtors are able to extract value from these customer lists,” said FTX attorney Brian Glueckstein. FTX was declared bankrupt in November when the global stock market ran out of money after the equivalent of a bank run. Founder Sam Bankman-Fried pleaded not guilty to charges of cheating investors and looting customer deposits to make lavish real estate purchases, campaign contributions to politicians and risky trades at Alameda Research, his cryptocurrency hedge fund trading firm. Three former FTX executives have pleaded guilty to fraud and are cooperating with investigators.
A shopping app that didn’t exist four months ago might be changing the game of e-commerce, however, experts say it’s also raising concerns about data privacy risks for Canadians. Garnering conflicting reactions from customers throughout Canada and the U.S., Temu has been making waves on social media platforms over the last two months. The one-stop-shopping service recently became one of North America’s most downloaded free apps on both the App Store and Google Play, thanks in part to its reputation of offering steep discounts on a vast assortment of products, along with opportunities for credit incentives through encouraging sign-up offers.However, one cybersecurity expert warns that Temu, like any e-commerce app that doesn’t fall under Canadian data protection laws, could present a risk that more shoppers should evaluate. “Within the last year or so there has been increasing concern about spying from foreign states,” Fred Nerenberg, a senior cybersecurity consultant at a Canadian security firm, told CTVNews.ca over the phone. “But when it comes to people’s data, you are forfeiting your personal information and your browsing habits and your interests to a company that may or may not have ties to foreign governments where that data would be subject to ownership by those foreign states,” he explained.collection these e-commerce services cast. “I think what they choose to do with it is sort of up in the air. It’s under a different jurisdiction.” Nerenberg said “quite a bit of information about your clientele” can be inferred based solely on browsing habits. Apps like Temu, he said, can collect metadata that reveals how long customers have looked at certain products and how many times they revisited certain pages. This can be used to build data profiles that allow companies to precisely target people with ads that feature products they will be more inclined to purchase. Nerenberg says the threat could apply to all e-commerce services with international distribution. According to Forbes, Target once figured out one of its teenaged customers was pregnant before her father did, based on her online browsing data. “These companies could theoretically build those same profiles. So it’s no different than the companies here, but how is that information being used by foreign states?” Temu is an off-shoot of Pinduoduo, a Chinese e-commerce giant. As reported by CNN, Pinduoduo was found to be capable of bypassing users’ mobile security software to monitor activities on other apps—including checking notifications and reading private messages. According to a CNN investigation involving cybersecurity researchers in Asia, Europe and the U.S., malware on the Pinduoduo app exploited security vulnerabilities in Android operating systems in order to gain access to data not normally accessible by apps.
Oil giant Shell said it is investigating after a security researcher found an exposed internal database spilling the personal information of drivers who use the company’s electric vehicle charging stations. Security researcher Anurag Sen found a database online that contained close to a terabyte of logging data relating to Shell Recharge, the company’s worldwide network of hundreds of thousands of electric vehicle charging stations, which it acquired in part from Greenlots in 2019. Greenlots provided electric vehicle (EV) charging services and technology for customers operating vehicle fleets. The internal database, hosted on Amazon’s cloud, contained millions of logs, said Sen, including details about customers who used the EV charging network. The database had no password, allowing anyone on the internet to access its data from their web browser. The data, seen by TechCrunch, contained names, email addresses, and phone numbers of fleet customers who use the EV charging network. The database included the names of fleet operators, which identified organizations — such as police departments — with vehicles that recharge on the network. Some of the data included vehicle identification numbers, or VINs. Sen said the database also contained the locations of Shell’s EV charging stations, including private residential charging points. One of the exposed records seen by TechCrunch contained a residential address belonging to Greenlots CEO Andreas Lips. It’s not clear what resulted in the database becoming publicly exposed, or how long the data was public — though some of the information is as recent as 2023. Sen said he contacted Shell after discovering the exposed database. TechCrunch alerted Shell after Sen said he did not hear back from the company. A short time after TechCrunch contacted Shell, the database became inaccessible. Shell spokesperson Anna Arata told TechCrunch in a statement: “Shell has taken steps to contain and identify an exposure of Shell Recharge Solutions data. We are investigating the incident, continue to monitor our IT systems, and will take any necessary future actions accordingly.” Sen has previously found exposed data belonging to Amazon, Hotai Motor, PeopleGrove and JusTalk. Earlier this year, Sen discovered a database containing sensitive U.S. military emails belonging to U.S. Special Operations Command.
