Punti chiave
Il servizio di trasferimento file WeTransfer ha avuto diversi problemi rispetto i suoi clienti dopo aver trovato e comunicato di avere inviato collegamenti di file agli utenti sbagliati.
Fondata nel 2009, WeTransfer consente agli utenti di trasferire file di grandi dimensioni tra loro gratuitamente. È un’alternativa ai servizi di posta elettronica, che in genere pongono limitazioni alle dimensioni del file. Ha 50 milioni di utenti che inviano un miliardo di files ogni mese, pari a circa 1.000 terabyte di dati.
Il servizio fornisce la sua versione gratuita attraverso un modello pubblicitario. Offre inoltre un servizio “Plus” a pagamento che consente agli utenti di proteggere i propri file con password.
Il 21 giugno 2019 WeTransfer ha pubblicato un avviso di sicurezza relativo a un incidente scoperto cinque giorni prima:
Avviso di sicurezza WeTransfer
Abbiamo scoperto un incidente di sicurezza lunedì 17 giugno, in cui le e-mail che supportano i nostri servizi sono state inviate a indirizzi e-mail non desiderati. Attualmente stiamo informando gli utenti potenzialmente interessati e abbiamo informato le autorità competenti.
Questo incidente si è verificato il 16 e 17 giugno e, al momento della scoperta, abbiamo immediatamente adottato misure precauzionali di sicurezza per proteggere i nostri utenti. Ciò significa che gli utenti potrebbero essere stati disconnessi dal proprio account o è stata avviata la richiesta di reimpostare la propria password per salvaguardare il proprio account. Inoltre, abbiamo bloccato i link di trasferimento per garantire la sicurezza dei nostri utenti.
Comprendiamo l’importanza dei dati dei nostri utenti e non diamo mai per scontata la fiducia nel nostro servizio. Stiamo ancora esaminando l’ambito completo e la causa dell’incidente, e aggiorneremo ulteriormente il prima possibile.
Il problema della crittografia
Il problema con i file di protezione delle password è che si tratta di una forma di crittografia simmetrica, in cui il mittente e il destinatario di un file utilizzano lo stesso codice per accedere al file. Il mittente non può inviare il file in modo sicuro tramite lo stesso canale perché un intercettatore potrebbe leggere sia il file che il codice. Questo crea i suoi problemi di sicurezza e usabilità.
La crittografia asimmetrica (chiave pubblica) è più complessa ma anche più sicura perché utilizza due chiavi digitali per ciascun utente: una privata (segreta) che non viene mai inviata tramite alcun canale e una pubblica (non segreta).
Il mittente di un file utilizza la chiave pubblica del destinatario (visualizzabile da chiunque) per crittografarlo. Solo la chiave privata del destinatario può decodificarlo.
In più il mittente può anche provare la propria identità codificando il file con la propria chiave privata. Quindi, il destinatario deve eseguire un ulteriore passaggio, decifrando il messaggio con la chiave pubblica del mittente. Ciò dimostra che solo il mittente avrebbe potuto inviare il messaggio, piuttosto che un impostore.
Così com’è, la versione gratuita di WeTransfer non protegge i suoi file con alcun codice, ed è per questo che il problema con le e-mail è così problematico e grave.