Se fate parte di un’agenzia governativa di alfabetizzazione, in particolare se gestite un programma di condivisione di informazioni per combattere la criminalità informatica, assicuratevi di verificare adeguatamente l’identità dei nuovi membri prima dell’ammissione. E assicuratevi che l’API abbia un tasso di accesso limitato, in modo che un membro malintenzionato non possa raschiare l’intero database degli utenti e venderlo su un forum del dark web.

A parte gli scherzi, questo è esattamente ciò che è successo al programma InfraGuard dell’FBI. Un utente astuto si è iscritto al programma utilizzando il nome e il numero di telefono di un amministratore delegato e un indirizzo e-mail dall’aspetto convincente. Gli amministratori del programma non hanno fatto molta attenzione e hanno approvato la richiesta. Imbarazzante.

InfraGard, un programma gestito dal Federal Bureau of Investigation (FBI) degli Stati Uniti per creare partnership con il settore privato per la condivisione di informazioni sulle minacce informatiche e fisiche, questa settimana ha visto il suo database di informazioni di contatto su oltre 80.000 membri essere messo in vendita su un forum di criminalità informatica in lingua inglese. Nel frattempo, gli hacker responsabili stanno comunicando direttamente con i membri attraverso il portale InfraGard online, utilizzando un nuovo account sotto la presunta identità di un amministratore delegato del settore finanziario che è stato controllato dalla stessa FBI.