Violato il database World-Check: a rischio informazioni private di milioni di persone
Il database World-Check, utilizzato da banche e aziende per verificare l’affidabilità dei clienti, è stato violato e trafugato da un gruppo di cybercriminali noto come GhostR. La London Stock Exchange Group (LSEG), che gestisce il database, ha confermato l’autenticità della violazione, avvenuta però presso un terzo fornitore non specificato, con il quale LSEG sta collaborando per proteggere i dati e avvertire le autorità competenti.
World-Check è un database a pagamento che aggrega informazioni su individui politicamente esposti, cioè a rischio elevato, tra cui anche persone “indesiderabili” come terroristi, riciclatori di denaro e politici corrotti. Raccoglie dati da fonti aperte accreditate come liste di sanzioni ufficiali, elenchi normativi, fonti governative e pubblicazioni mediatiche affidabili e viene utilizzato dalle aziende, in particolare banche e istituzioni finanziarie, per effettuare controlli di Know Your Customer (KYC) e verificare che i clienti siano effettivamente chi dichiarano essere.
Il gruppo GhostR ha annunciato che presto inizierà a diffondere il database rubato, compresi i dettagli su migliaia di individui tra cui anche membri di famiglie reali. Un campione di 10.000 record fornito ai giornalisti contiene nomi di varie nazionalità tra figure politiche, giudici, diplomatici, presunti terroristi, riciclatori di denaro, narcotrafficanti, siti web, aziende e noti cybercriminali come alcuni sospetti membri di APT31.
I dati di World-Check includono informazioni dettagliate come nomi completi, categoria di appartenenza (es. criminalità organizzata, figura politica), a volte il ruolo lavorativo specifico, date e luoghi di nascita quando noti, altri alias utilizzati, numeri di previdenza sociale e una breve spiegazione del motivo dell’inserimento nell’elenco.
Questo non è però il primo leak di World-Check. Nel 2016, quando era di proprietà di Thomson Reuters, una precedente edizione del database con 2,2 milioni di record era stata diffusa online e successivamente messa in vendita a 6.750 dollari. Nonostante l’aggregazione di dati provenga da fonti ritenute affidabili, in passato l’inserimento nell’elenco World-Check ha causato problemi a persone e organizzazioni innocenti.
Nel 2014, ad esempio, alcuni britannici hanno subito la chiusura dei loro conti bancari HSBC dopo essere stati erroneamente inseriti nel database, mentre nel 2021 una moschea di Londra, inizialmente frequentata da noti terroristi ma poi supportata dalla polizia locale, ha vinto una causa per diffamazione contro l’inclusione ingiustificata del suo nome nel database, con conseguente rifiuto delle banche di accettarla come cliente.