Vai al contenuto
BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

Questo articolo è disponibile anche in
versione podcast audio.

Il 19 ottobre scorso Microsoft ha
annunciato
che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati
resi pubblicamente accessibili via Internet a causa di un suo errore di
configurazione. I dati includono dettagli delle strutture aziendali, le
fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di
telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua
segnalazione da parte della società di sicurezza informatica SOCRadar il 24
settembre scorso, ma
alcuni
esperti
non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come
Grayhat Warfare e come
avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati
hanno avuto il tempo di procurarsene una copia.

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google,
che hanno malconfigurato vari server contenenti dati sensibili dei propri
clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in
un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome
di dominio nella casella di ricerca, e ha dato alla vicenda il nome
BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123
paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono
circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a
dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai
servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa
servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto
a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente
utilizzati dai criminali online per ricatti ed estorsioni o per carpire
illecitamente la fiducia dei dipendenti di un’azienda presa di mira
manifestando di conoscere informazioni aziendali riservate, ma vengono anche a
volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso
di ignorare segnalazioni di cloud colabrodo come questa. 

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

 

Fonte aggiuntiva:
Bleeping Computer, Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Alexa prega con te, ma solo se la paghi: occhio agli acquisti vocali

Alexa prega con te, ma solo se la paghi: occhio agli acquisti vocali

Questo articolo è disponibile anche in versione podcast.

Con tutti questi malware in giro, c’è quasi da dire le preghiere ogni volta
che si sta per aprire un allegato. Il guaio è che in informatica anche la
preghiera può nascondere un raggiro.

Lo sa bene Patricia Collinson, una devota ottantasettenne che vive a Hastings,
nel Regno Unito, e si è trovata involontariamente al centro di un inganno
informatico decisamente insolito. La figlia le ha regalato un assistente
vocale, un altoparlante Alexa di Amazon, e la signora ha iniziato a usarlo con
entusiasmo, soprattutto quando ha scoperto che poteva chiedere ad Alexa,
semplicemente parlando, di recitare una preghiera con lei, specificamente
l’Ave Maria.

Quasi tutte le mattine la signora Collinson si sedeva in poltrona e parlava ad
Alexa come se fosse una persona, dicendole
“Buongiorno Alexa, puoi recitare per favore l’Ave Maria?”, e Alexa
eseguiva prontamente la richiesta.

Ma l’entusiasmo della signora è passato ben presto quando si è accorta, grazie
alla figlia, che la solerte Alexa recitava l’Ave Maria solo per soldi. Infatti
la signora, senza rendersene conto, si era abbonata a un servizio a pagamento
semplicemente parlando ad Alexa.

La figlia, alla quale era intestato l’account di Alexa, se ne è accorta quando
ha ricevuto una mail dalla ditta statunitense Catholic Prayers che la
informava dell’attivazione di un abbonamento a pagamento sull’Alexa che lei
aveva regalato alla madre. Due sterline al mese, quindi non certo un salasso,
ma restava il problema che la signora Collinson aveva attivato un contratto di
addebito permanente a un servizio semplicemente con la voce, senza nessuna
delle normali conferme visive o cartacee che esistono negli acquisti normali.

Questa situazione potenzialmente ingannevole è stata confermata da Amazon al
figlio della signora Collinson, che l’ha
documentata
per il giornale britannico The Guardian dove lavora: si possono fare
acquisti a voce, ha confermato Amazon,
“dicendo di sì a un messaggio di offerta di un prodotto, generato quando un
cliente richiede direttamente il prodotto o quando il cliente risponde
positivamente a un suggerimento proattivo all’interno della skill”. Le skill sono, in sostanza, l’equivalente vocale delle app. 

[nel podcast qui c’è l’audio di Alexa che offre di acquistare a voce, tratto da
Voice Technology di Alessio Pomaro]

La ditta Catholic Prayers, contattata, ha ipotizzato che la signora non si sia
resa conto che Alexa la stava avvisando che il servizio di preghiera era a
pagamento e abbia risposto di sì a questo avviso. La ditta, fra l’altro, dice
di avere circa 10.000 utenti al mese. Viene da chiedersi se esistono davvero
diecimila persone consapevolmente disposte a pagare due sterline al mese per
farsi dire da un altoparlante una preghiera che possono sentire gratis (per
esempio tramite l’assistente vocale di Google) o se si tratta almeno in parte
di persone che sono cadute nello stesso equivoco della signora Collinson.

Dato che questi assistenti vocali vengono regalati sempre più spesso a persone
che non hanno competenze informatiche e non sanno cosa sia una skill o
che si possano generare degli addebiti semplicemente parlando, è importante
che chi fa questi regali sia ben consapevole di queste funzioni, per evitare
addebiti indesiderati, e sappia come disabilitarle.

Per impedire acquisti accidentali fatti a voce con un dispositivo Alexa si può
entrare nell’account che lo gestisce e selezionare, nelle impostazioni, la
sezione
Acquisti tramite voce. Qui si può scegliere se disattivarla completamente oppure se proteggerla
con un codice segreto di quattro cifre che dovrà essere detto ad Alexa per
confermare l’intenzione di acquisto. In questo modo, solo chi conosce questo
codice potrà fare acquisti. Ovviamente, se il codice viene detto in presenza
di altre persone non sarà più segreto.

Viene da chiedersi quanti utenti di questi assistenti vocali siano a
conoscenza di queste funzioni di acquisto automatico e sappiano come
impostarle correttamente. Nel frattempo, Amazon segnala con entusiasmo sulle
proprie
pagine promozionali
che ci sono sviluppatori che hanno guadagnato
25.000 dollari in soli sei mesi
vendendo agli utenti Alexa la funzione che consente all’assistente vocale di
dire “Buona notte” e una frase di conforto. E lasciando da parte un
momento la questione degli addebiti non intenzionali, fa tristezza pensare che
ci siano persone così sole da essere disposte a pagare per farsi dire una
preghiera o la buonanotte da una macchina.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Alexa, riconoscimento vocale offline in arrivo

Alexa, riconoscimento vocale offline in arrivo

Mentre mancano prove di un ascolto generalizzato delle nostre conversazioni da parte degli smartphone, sappiamo invece con certezza che parte delle nostre conversazioni viene carpita dagli assistenti vocali, come Alexa, Cortana, Siri o l’Assistente Google. 

Il funzionamento di questi assistenti vocali, infatti, prevede esplicitamente che vengano registrati e trasmessi alle rispettive case produttrici tutti i suoni ambientali captati dai loro microfoni appena prima e appena dopo che è stata pronunciata la wake word o parola di attivazione (“Alexa” o “OK, Google”, eccetera): i comandi, infatti, vengono interpretati dai computer remoti di queste case produttrici, non dal dispositivo locale.

A volte questi assistenti credono di aver sentito la wake word quando in realtà è stato detto qualcos’altro e quindi può capitare che prendano degli spezzoni di conversazione privata e li mandino a Google, Amazon, Microsoft o Apple, dove possono essere archiviati e ascoltati da alcuni dipendenti di queste aziende (se la cosa non vi piace, potete chiedere l’eliminazione delle registrazioni). Ma a parte questi incidenti, non effettuano intercettazioni generalizzate e di massa.

Anche così, comprensibilmente molti utenti non vogliono correre il rischio di avere orecchie indiscrete in casa, per esempio nei momenti intimi o durante incontri professionali confidenziali, per cui rifiutano di installare Alexa e simili in casa o in ufficio. 

Però un assistente vocale è spesso molto comodo. I problemi di riservatezza e sorveglianza sparirebbero ce ne fosse uno che fa il riconoscimento vocale in locale, senza mandare spezzoni della nostra voce a nessuno e cancellandoli automaticamente dal dispositivo dopo che sono stati usati. Amazon ha presentato proprio questa possibilità pochi giorni fa: sarà disponibile “prossimamente”, perlomeno per gli utenti statunitensi (video, a 00:4:50).

Purtroppo questa opzione riguarda soltanto i dispositivi più recenti di Amazon, dotati di processore AZ1 Neural Edge e quindi è disponibile soltanto sugli Echo di quarta generazione, sull’Echo Show 10 e sui dispositivi futuri. Non sarà disponibile sui dispositivi precedenti.

È comunque un buon segno: la privacy aumenta e in più i tempi di risposta diventano più brevi grazie al fatto che il riconoscimento dei comandi avviene localmente invece di dover registrare la voce e mandarla via Internet a computer remoti che poi restituiscono l’azione corrispondente.

Fonti aggiuntive: The Verge, Engadget.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Servizi di Amazon vanno in tilt in USA, aspirapolvere “smart” e Fortnite paralizzati in giro per il mondo

Servizi di Amazon vanno in tilt in USA, aspirapolvere “smart” e Fortnite paralizzati in giro per il mondo

Credit: @robisanni.

Se mercoledì sera o giovedì mattina avete avuto problemi con il vostro aspirapolvere “smart” che non rispondeva più ai comandi, il campanello o apriporta “smart” non funzionava più o non riuscivate a giocare a Fortnite, non vi preoccupate: non è la Rivolta delle Macchine. 

Però un pochino dovreste preoccuparvi, perché vuol dire che il vostro dispositivo dipende totalmente da Internet per funzionare, e se Internet non va per qualunque ragione avete un dispositivo inutile. 

Se ne sono accorti gli utenti di alcuni prodotti di Autodesk e se ne sono accorte le redazioni di alcuni giornali statunitensi come il Washington Post, il Wall Street Journal e il Chicago Tribune, che hanno avuto serie difficoltà operative. Anche parte del sistema di trasporto ferroviario di New York è andata in crisi.

Il motivo della crisi era bello grosso: la regione US-East-1 degli Amazon Web Services era in tilt. Molti utenti non lo sanno e immaginano Amazon come un negozio online, ma in realtà Amazon gestisce anche una fetta molto sostanziosa del traffico di Internet e questa gestione produce il 57% dei suoi guadagni complessivi. Quando i suoi Web Services fanno le bizze, cade tutto come un castello di carte.

Alcuni utenti, insomma, si sono trovati nella situazione piuttosto assurda di non poter passare l’aspirapolvere o rispondere alla porta di casa per via di un guasto a Internet dall’altra parte del mondo. 

La situazione è stata riportata alla normalità alcune ore dopo, ma episodi come questo sottolineano l’importanza di scegliere dispositivi che possano funzionare anche senza una connessione a Internet. Non ha senso che per accendere le luci di casa a Zurigo si debba mandare un comando in California.

Se volete monitorare questi servizi e sapere se un improvviso malfunzionamento del vostro dispositivo “smart” è colpa del dispositivo o di un guasto ai suoi servizi online, provate Downdetector.com; lo stato dei servizi Web di Amazon è invece consultabile presso Status.aws.amazon.com.

Fonti aggiuntive: News.com.au, The Telegraph (paywall), The Register.

 

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mille parole che attivano per errore gli assistenti vocali e registrano le nostre voci

Mille parole che attivano per errore gli assistenti vocali e registrano le nostre voci

Ci sono oltre mille parole o sequenze di parole che possono attivare per errore gli assistenti vocali, come Siri, Google Assistant, Alexa o Cortana, e quindi mandare ad Apple, Google, Amazon o Microsoft spezzoni delle vostre conversazioni domestiche o sul luogo di lavoro.

Questo è il risultato di uno studio, intitolato Unacceptable, where is my privacy?, realizzato da un gruppo di ricercatori della Ruhr Universität Bochum e del Max Planck Institute for Security and Privacy, che dimostrano il fenomeno con una serie di video che mostrano attivazioni errate causate da dialoghi del Trono di Spade e di Modern Family: “a letter”, “We like some privacy” (ironico), “Hey Jerry”.

Fra le altre parole o frasi che causano attivazioni errate ci sono unacceptable e election (per Alexa), OK cool (per Google Assistant), a city (per Siri), Montana (per Cortana). Sarebbe interessante fare uno studio analogo per l’italiano e per altre lingue oltre all’inglese.

Il fenomeno in sé era già noto, ma la novità è la quantità di parole comuni che possono causare queste attivazioni impreviste: è talmente elevata che è necessario presumere che qualunque conversazione fatta in presenza di un assistente vocale non sia privata. L’unico modo per risolvere questo problema è spegnere o silenziare questi assistenti, o non possederli affatto. La ricerca include le istruzioni per riascoltare, o almeno cancellare, quello che è stato registrato dall’assistente vocale e trasmesso alla rispettiva azienda.

Fonte aggiuntiva: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se lavorate da casa, spegnete gli altoparlanti “smart”. Potrebbero sentire troppo

Se lavorate da casa, spegnete gli altoparlanti “smart”. Potrebbero sentire troppo

Ultimo aggiornamento: 2020/03/27 14:00.

Molti in questi giorni si trovano a dover lavorare da casa, con telefonate e videoconferenze nelle quali scambiano informazioni confidenziali. Medici, avvocati, docenti e tante altre persone devono garantire, anche in condizioni straordinarie, la riservatezza delle comunicazioni.

A parte tenere un volume di voce non troppo alto in modo da non far sentire tutto anche ai vicini e tenere fuori dalla stanza partner e bambini, che sono precauzioni piuttosto ovvie, bisogna tenere presente anche un aspetto informatico: gli altoparlanti smart, come Amazon Echo (Alexa) o Google Home, o gli assistenti vocali come Google Assistant, Siri o Cortana.

Questi altoparlanti e assistenti, infatti, hanno un microfono che può attivarsi spontaneamente, senza che siano state pronunciate le parole di attivazione, e può quindi captare le conversazioni private e trasmetterle ad Amazon o Google, dove possono essere ascoltate dai dipendenti di queste aziende.

Le attivazioni non intenzionali capitano più spesso di quello che molti immaginano. Una ricerca della Northeastern University e dell’Imperial College di Londra indica che gli utenti attivano involontariamente i loro altoparlanti “smart” da una volta e mezza fino a 19 volte al giorno.

Il consiglio è quindi di mettere in muto, o scollegare dall’alimentazione elettrica, questi altoparlanti almeno in orario di lavoro se si fanno conversazioni sensibili. Gizmodo ha preparato una guida (in inglese) su come trovare e cancellare tutto quello che viene captato dagli assistenti digitali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se nemmeno Jeff Bezos riesce a proteggere il suo smartphone, noi che speranze abbiamo?

Se nemmeno Jeff Bezos riesce a proteggere il suo smartphone, noi che speranze abbiamo?

Lo smartphone di Jeff Bezos, boss miliardario di Amazon, uno a cui i soldi e le motivazioni per pensare alla propria sicurezza informatica non mancano di certo, è stato violato.

Secondo i risultati di una perizia tecnica, l’iPhone di Bezos ha iniziato a trasmettere dati in quantità elevate (in media 100 megabyte al giorno) verso una destinazione imprecisata il primo maggio 2018, dopo che Bezos ha ricevuto tramite WhatsApp un video inviatogli dall’account di Mohammed bin Salman Al Saud, influente principe ereditario saudita che sostanzialmente governa l’Arabia Saudita.

Lasciando da parte momentaneamente i risvolti planetari politici della vicenda (Bezos è proprietario del Washington Post, il giornale per il quale scriveva il giornalista Jamal Khashoggi, fortemente critico del governo saudita  assassinato presso il consolato saudita di Istanbul a ottobre 2018), per noi comuni mortali questo attacco ha alcune implicazioni importanti.

Immagini tratte dal telefono di Bezos e inviategli dall’account di Mohammed bin Salman mostrano una donna che sembra essere Lauren Sanchez, con la quale Bezos aveva all’epoca una relazione extraconiugale segreta.

Primo, e non banale, a quanto pare le persone più influenti del mondo chattano tramite WhatsApp. Ci si potrebbe aspettare un social network riservato ai miliardari, e invece no.

Secondo, è stato violato un iPhone X, nonostante tutte le dichiarazioni sulla sicurezza di questo dispositivo fatte da Apple.

Terzo, l’iPhone è stato violato mandando un video alla vittima. Questo vuol dire che esiste un modo per attaccare chiunque via WhatsApp inviando un video? Non proprio. Secondo la perizia tecnica, il video è arrivato insieme a un imprecisato “downloader crittografato”, per cui non basta semplicemente ricevere un video per temere un attacco.

Quarto, è possibile che la falla usata per violare lo smartphone di Jeff Bezos sia stata già corretta: a maggio 2019 fu annunciata e corretta una grave vulnerabilità di WhatsApp (un buffer overflow) che veniva a quanto pare utilizzata da vari governi per spiare le persone.

Quinto, a quanto pare Bezos ha dimenticato la password del proprio account iTunes, visto che i periti hanno dovuto usare una tecnica particolare per ottenere i dati senza usare questa password.

Morale della storia: il vostro smartphone è così complesso e potente che è difficilissimo metterlo in totale sicurezza persino per uno come Jeff Bezos e quindi l’unica vera difesa è non usarlo, preferendo un telefonino normale (o nessun telefonino). Per contro, attacchi sofisticati come questo richiedono le risorse economiche e tecniche di uno stato, per cui se non siete un bersaglio particolarmente appetibile per motivi professionali o politici non avete motivo di preoccuparvi per questo genere di intrusione sofisticata.

Ma se lo siete, pensateci. E in ogni caso fate sempre gli aggiornamenti di sicurezza e non dimenticatevi le vostre password.

Fonti aggiuntive: Graham Cluley, BoingBoing, Vice.com.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Campanelli digitali colabrodo, Amazon incolpa gli utenti, ma EFF non ci sta

Campanelli digitali colabrodo, Amazon incolpa gli utenti, ma EFF non ci sta

Pochi giorni fa degli intrusi digitali sono entrati nella telecamera di sorveglianza Ring nella cameretta di una bambina di 8 anni in Mississippi e hanno cominciato a parlarle e prenderla in giro (c`è anche il video), sono avvenute varie altre intrusioni ed è emerso che sono stati pubblicati online 3600 indirizzi di mail, password, localizzazioni e altri dati personali di utenti Ring.

Amazon, fabbricante dei sistemi di sicurezza interconnessi Ring, si è difesa dando la colpa agli utenti: gli attacchi sarebbero andati a segno, dice Amazon, perché gli utenti hanno riutilizzato per i propri Ring delle password che usavano altrove ed erano già state rivelate da altri attacchi a questi altri servizi, e non hanno attivato l’autenticazione a due fattori.

La Electronic Frontier Foundation, però, nota che Amazon ha dimenticato un dettaglio tecnico importante: l’azienda si è accorta degli attacchi soltanto quando glieli hanno segnalati i ricercatori di sicurezza. E se le cose sono andate come dice Amazon, ossia se gli aggressori hanno tentato decine di migliaia di nomi utenti e password sul sito di Ring, Amazon avrebbe dovuto notare questo enorme numero di tentativi falliti e allertare gli utenti: un limite al numero di tentativi falliti è una prassi di sicurezza fondamentale, soprattutto quando ci sono di mezzo dati enormemente sensibili.

Le telecamere e i campanelli “smart”, infatti, vedono anche dentro gli spazi privati delle case, consentendo a criminali e ficcanaso di vedere in diretta chi c’è e non c’è, di riguardare le registrazioni video dei locali sorvegliati, acquisire la geolocalizzazione delle telecamere e quindi andare a colpo sicuro. Sicuro per loro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Amazon.it e la “puttana da golf”

Amazon.it e la “puttana da golf”

Le traduzioni automatiche a volte hanno qualche leggero problema. Questi sono tutti link e screenshot verificati personalmente poco fa.

Shuzhen,Puttana da Golf per Esterno da Golf con Testa in Acciaio Inossidabile (link)

Borsa da viaggio unisex non essere una borsa da viaggio multifunzionale salata di puttana con sacchetti cosmetici con cerniera (link)

Cazzo di fagioli mung, verde, lucido, confezione da 5 (confezione da 5 x 400 g) (link)
KHE &apos BMX vorde Rad sunrims 4PLAY cerchione praezisionsgelagerte mozzo Die Puttana direttamente E3 (link)
Puttana da Gamba Aperta Petite Open da Donna ComfortSoft_Violet Splendor Htr_M (link)

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quando una ditta lascia online i dati dei clienti e ignora gli avvisi, che si fa? Si pubblica

Quando una ditta lascia online i dati dei clienti e ignora gli avvisi, che si fa? Si pubblica

Ultimo aggiornamento: 2019/08/27 12:00.

Le gioie dei dati nel cloud: la San Marino Tourservice S.p.A. ha messo centinaia di file contenenti dati dei clienti in un bucket Amazon leggibile da chiunque, con buona pace della sua privacy policy (che ho archiviato qui).

So che è già stata allertata tempo fa (non da me), ma non ha fatto nulla: i dati sono ancora lì, come lo erano a marzo scorso, alla mercé del primo che passa. Nomi, numeri di telefono, date di viaggio, infortuni e problemi di salute.

Un paio di esempi (in cui ho mascherato i principali dati), tanto per chiarire che non sto scherzando:

Visto che segnalare il problema direttamente e con discrezione agli interessati non sembra aver ottenuto alcun effetto, vediamo cosa succede con una segnalazione pubblica della figuraccia. Perché un cliente ha il diritto di sapere se i suoi dati personali verranno davvero tutelati dall’azienda alla quale si rivolge o se, come sembra, vige il chissenefrega più totale.

Ho inviato segnalazione anche al CNAIPIC.

15:50. Sono stato contattato dal responsabile informatico dell’azienda e gli ho spiegato i dettagli tecnici della questione, chiarendo che non ho trovato alcuna vulnerabilità ignota ma ho semplicemente usato uno degli appositi motori di ricerca che indicizzano i bucket world-readable. È comunque già un passo avanti. I dati sono tuttora leggibili e scaricabili da chiunque, anche in massa. Ricordo alle aziende che usano i bucket di Amazon che Amazon offre una guida alla messa in sicurezza e anche uno strumento di verifica delle impostazioni dei bucket.

21:10. Mi è arrivata una mail dal responsabile informatico dell’azienda, che ha confermato la mia segnalazione e ha detto che verranno prese misure opportune (che non descrivo qui) e ringraziato con la promessa di aggiornarmi sulle modifiche e con la cortese richiesta di verificare il loro operato. Tutto è bene quel che finisce bene? Beh, resta la questione delle conseguenze GDPR di questa esposizione di dati privati. Ma questa è un’altra storia.

2019/08/22 7:35. Sono stato contattato di nuovo dall’azienda, che mi ha chiesto di verificare che a seguito di un intervento tecnico ora i dati non sono più accessibili a chiunque. I miei controlli a campione confermano che è così.

2019/08/27 12:00. Ho sostituito gli screenshot iniziali (che avevo mascherato quasi completamente) con delle versioni completamente mascherate.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.