Vai al contenuto
Un sito di e-commerce italiano "custodisce" i dati dei clienti. Senza password

Un sito di e-commerce italiano “custodisce” i dati dei clienti. Senza password

Ultimo aggiornamento: 2020/09/28 13:25.

Oggi (27/9) mi è stato segnalato che c‘è un sito di e-commerce italiano che custodisce (si fa per dire) i dati dei propri clienti senza usare password. Basta tirare a indovinare il numero di login, e si entra.

A ogni cliente viene infatti semplicemente assegnato un numero di login progressivo. Per vedere i dati degli altri basta digitare quel numero.

Digitando un numero di login esistente (i numeri sono a sei cifre e sono sequenziali) si entra nell’account senza ulteriori formalità.

Si leggono i dati dell’utente.

I dati di tutti non sono solo visibili a chiunque tramite una semplice enumerazione dei login (ossia tentandoli tutti in automatico, uno dopo l’altro), ma sono anche modificabili. Senza password. Un utente mi ha dato il permesso di provare a cambiare i dati del suo account. Sì, sono modificabili.

La Privacy Policy dice che i dati “Saranno custoditi con le misure… di sicurezza adeguate” (ho alterato il testo per non consentire di identificare il sito, ma il senso è quello). Certo, come no. E la policy dice che l’azienda, in caso di violazione dei dati personali, notificherà entro 72 ore al Garante Privacy.

C’è un cordialissimo servizio di assistenza clienti:

Vediamo se funziona, anche se quello che ha bisogno di aiuto non sono io, ma il DPO del sito. Gli ho scritto questo: “Buongiorno, sono un giornalista informatico. Mi è stato segnalato che tutti i dati dei vostri clienti sono accessibili e modificabili semplicemente digitando i loro numeri di login. Chiunque potrebbe entrare e vedere, cancellare o alterare uno per uno i dati dei vostri clienti. Sono a disposizione per eventuali chiarimenti.”

Messaggio inviato. Giusto per chiarezza: per colpa dell’incredibile incompetenza di chi ha creato questo sito, chiunque potrebbe entrare nel sito e acquisire, cancellare o alterare sistematicamente tutti i dati dei clienti.

Vediamo che succede fra 72 ore.

2020/09/28 13:25

Stamattina mi ha scritto il direttore commerciale dell’azienda, in risposta alla mia segnalazione, dicendo che la sua software house è già stata incaricata di bloccare l’accesso all’area clienti, che adotterà nome utente e
password, e che i suoi consulenti hanno avuto l’incarico di attivare la procedura di data breach secondo policy aziendale e GDPR.

In effetti accedendo all’area clienti ora si vede questo:

Nessuno dei clienti del sito con i quali sono in contatto ha segnalato finora di aver ricevuto notifiche sull’accaduto.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Finiscono gli anni ’10, ricordiamo i loro flop tecnologici e proviamo a prevedere i successi?

Finiscono gli anni ’10, ricordiamo i loro flop tecnologici e proviamo a prevedere i successi?

Credit: Gizmodo.

Gizmodo ha pubblicato un articolo nel quale riepiloga i fallimenti più vistosi in campo tecnologico: quelli per i quali la promozione è stata intensissima ma il successo è rimasto rasoterra.

Ne cito alcuni che condivido pienamente:

  • I televisori 3D e quelli curvi (2010)
  • Le fotocamere Lytro che permettono di mettere a fuoco le foto dopo lo scatto (2011)
  • Google Glass (2013)
  • Gli smartphone modulari (2013)
  • Il Mac Pro (2013)
  • Il Nokia Lumia 950, un Windows Phone (2013)
  • Il Blackberry Priv (2015)
  • Homepod, l’altoparlante “smart” di Apple (2018)

Ne aggiungereste altri? Quali sono le vostre delusioni informatiche maggiori del decennio?

Per contro, la BBC prova a prevedere le tecnologie di maggiore impatto del prossimo anno: 

  • Voli spaziali commerciali con passeggeri (Blue Origin, Virgin Galactic)
  • telefonini a schermo flessibile (e non si rompono per logorio)
  • connettività 5G diffusa
  • computer quantistici

Staremo a vedere.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Usa NULL come targa pensando di beffare il sistema informatico delle multe. Il sistema beffa lui

Usa NULL come targa pensando di beffare il sistema informatico delle multe. Il sistema beffa lui

Un ricercatore di sicurezza californiano, Joseph Tartaro, ha creduto di aver avuto un’idea geniale quando, nel 2016, ha ottenuto la targa automobilistica personalizzata NULL. Come ha spiegato alla conferenza d’informatica Defcon, in molti linguaggi informatici NULL è una parola riservata che rappresenta il valore “vuoto” o “non definito”.

È diverso da zero, perché zero è un valore definito (se Mario ha zero libri, sappiamo quanti ne ha; se Mario ha NULL libri, vuol dire che non sappiamo quanti ne ha e neanche se ne ha).

La speranza di Tartaro era che il sistema informatico di gestione delle multe, leggendo la stringa NULL nel campo del numero di targa, l’avrebbe interpretata come “targa non definita” e quindi non gli avrebbe potuto infliggere multe.

Non è andata come sperava: invece di eludere le multe, gli sono arrivate tutte le multe nelle quali l’agente di polizia non aveva indicato il numero di targa o il sistema di lettura automatico delle targhe non era riuscito a leggere correttamente.

A un certo punto il totale delle multe a carico del ricercatore è arrivato a 12.049 dollari. Gli sono arrivate anche sanzioni che risalivano a prima che avesse l’auto. Ora sta litigando con l’amministrazione californiana e con l’azienda privata che gestisce le multe per cercare di farsi togliere le sanzioni che non lo riguardano, ma è un procedimento lungo e pieno di rimpalli.

Se volete sapere tutti i dettagli, Wired.com li racconta e aggiunge la storia di un uomo che si è trovato con lo stesso problema, ma non per scelta: si chiama infatti Christopher Null, e la sua vita è, come dire, complicata. Immaginate di chiamarvi Nessuno o Assente di cognome e di dover compilare un modulo e comincerete a intuire quali possano essere le conseguenze.

Fra l’altro, non è l’unico caso del genere in campo automobilistico: nel 2014 è emerso che il sistema di lettura automatica delle targhe dei rilevatori automatici di eccesso di velocità in Francia non era in grado di gestire le nuove targhe belghe, che iniziano con un 1, e registrava soltanto la prima cifra. Risultato: le multe andavano tutte all’automobilista belga che ha la targa numero 1, ossia il Re Filippo, come riferice il Luxembourg Times di allora. Le multe sono state annullate.

Sì, lo so, c’è un celebre precedente mitologico conclusosi con successo di uno che ha usato Nessuno come nome: ma Ulisse doveva solo sfuggire a un ciclope, mica a un sistema informatico programmato al massimo ribasso e in subappalto.

Fonti aggiuntive: The Verge, Gizmodo, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

Ultimo aggiornamento: 2019/08/06 23:40.

Datadrifter di Spyglass Security è un nuovo motore di ricerca che trova i bucket di Google Cloud lasciati aperti. Se fate sign-in con un account Google, scegliete Explore e poi Images, troverete davvero di tutto. Attenzione: molte immagini e molti video sono assolutamente non adatti ad ambienti con minori o luoghi di lavoro. Questa è la schermata più safe for work che sono riuscito a catturare (e anche così ho dovuto mascherarne una parte).

Notate in basso a destra l’immagine di quello che sembra essere un impianto di lettura automatica di indirizzi postali, con buona pace di GDPR, leggi sulla privacy, sicurezza informatica e compagnia bella.

Datadrifter offre anche una funzione di ricerca, in versione semplice o avanzata. La versione a pagamento (da 20 dollari/mese in su) permette di approfondire la ricerca, ma non ho ancora provato: devo ancora sciacquarmi gli occhi per le cose che ho visto.

Nella ricerca semplice è sufficiente immettere il nome di un bucket trovato per esempio nella sezione Explore per ottenere un elenco di file come questo, che riguarda il lettore di indirizzi postali:

Sono tentato di abbonarmi per vedere cosa trova. Qualcuno di voi lo conosceva già e lo ha già provato?

Secondariamente: ma quanto bisogna essere incompetenti per lasciare un bucket Google Cloud leggibile dal mondo intero?

2019/08/06 23:40

La versione a pagamento permette di vedere molto di più: scansando a fatica l’ondata di immagini pornografiche, emergono decine di immagini di documenti personali, alcuni dei quali anche italiani, e di screenshot di transazioni di acquisto, con nomi, cognomi, date e importi. Ho trovato il nome di almeno una delle aziende che sta mettendo online questi documenti.

Un clic destro sull’immagine seguito da Copy Image Location permette di risalire al bucket e verificare che l’immagine è realmente accessibile a chiunque, come in questo caso volutamente innocuo (la foto di un cane). Gli URL sembrano essere tutti del tipo https://www.googleapis.com/download/storage/v1/b/[nome del bucket]/o/[path][nomefile][parametri].

Fra i nomi dei bucket ho notato welo, cluster-media, simplestorage, phil-videos, piratebay-pics (decisamente NSFW), appstore-assets, nextpro, mastodon, imwork, alarabiya-assets, vidooly, symphonyimages, fcc-photos, chinatimes, store-production e altri ancora.

Nello screenshot qui sotto ho coperto io i dati sensibili, che negli originali sono perfettamente leggibili:

Ora sarebbe interessante trovare il modo di sapere a quali aziende appartengono questi bucket colabrodo e contattarle per sapere se la visibilità è consapevole e intenzionale o se è un errore gravissimo da correggere.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Mia moglie è andata allo Sheraton Grand Hotel di Dubai a mia insaputa (e anche sua): seconda parte

Un paio di settimane fa ho raccontato di come un errore di una società di sondaggi ha mandato via mail a mia moglie i dati di soggiorno di un’altra persona. L’errore viola le promesse di privacy della società (Medallia), che dicono che “i clienti possono stare sicuri che i dati personali o le PII [informazioni personalmente identificabili] possono essere visti solo dal personale o dai mercati che hanno necessità di conoscerli”.

Avevo scritto alla società per avvisarla dell’errore e del fatto che ha eccome fatto vedere informazioni personalmente identificabili (il nome della persona che è stata a Dubai, l’albergo che ha frequentato e la data di conclusione del suo soggiorno mi paiono dati abbastanza “personalmente identificabili”). Ho anche chiarito che si trattava di una possibile violazione del GDPR e che ne avrei parlato alla RSI.

Hello,

 I’m a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for [omissis]. The wrong person is my wife, [omissis].

This appears to be a violation of GDPR and of your privacy policies.

 I will be discussing this event tomorrow morning (Friday 26th) during my weekly radio show about IT security. Your comment would be most welcome.

 You may want to disregard any results of that survey entry.

 Sincerely,

 Paolo Attivissimo

Nessuna risposta da parte della società di sondaggi. Così ho provato a compilare il sondaggio dando il peggior punteggio possibile, nella speranza di ottenere una reazione di qualche genere. È arrivata:

Dear Mrs. [omissis],
Thank you for choosing to stay at the Sheraton Grand Hotel, Dubai and providing your honest feedback on the Guest Satisfaction Survey.
Providing the highest level of hospitality is our number one priority and we sincerely apologise for falling short of meeting your expectations.
Needless to say that I am sad and disappointed to read, that there was clearly things we could have done better to make your stay as memorable as possible.

 As we very much use our guests feedback to continuously improve our products and services we would love to share your feedback with the appropriate hotel team to ensure the necessary guidelines are in place to prevent shortcomings from occurring in the future. If not too much troubles to ask, please help me to understand what went wrong during your stay to further learn, coach and amend. We are very much looking forward hearing from you and get to know how to serve better.

 Once again, thank you for your valued feedback and we hope to welcome you again whenever your travels bring you back to Dubai.

 Best regards to Madrid and a renewing weekend ahead,
Matthias.
Matthias [omissis]
Front Office Manager
Sheraton Grand Hotel, Dubai
[indirizzo di mail presso Medallia.com e numero di telefono]

Lasciando da parte le scuse, notate che il Front Office Manager si è lasciato scappare la città dalla quale proviene la loro cliente: “Best regards to Madrid”. La commedia degli equivoci sta diventando una seminagione di dati personali.

Con i dati fornitimi dalla società di sondaggi ho fatto una rapida ricerca in Google e nei social network: si tratta di una donna che dirige un’importante azienda di Madrid e partecipa al Women Economic Forum. Non è un caso di omonimia: l’indirizzo di mail è inequivocabile ed ha solo una lettera di differenza rispetto a quello di mia moglie. 

Riassumendo, fin qui ho:

  • il nome e cognome di una cliente dello Sheraton Grand Hotel di Dubai
  • il suo indirizzo di mail (facilmente deducibile dai dati personali che non pubblico qui)
  • la data del suo ultimo soggiorno in quell’albergo (23 ottobre scorso)
  • la città nella quale abita (Madrid)
  • il nome dell’azienda per la quale lavora
  • una sua foto

Sono dati sufficienti per una campagna di spear phishing, ossia per un attacco mirato a una persona chiaramente facoltosa e/o altolocata (va a un Grand Hotel) e quindi potenzialmente molto interessante.

Giusto per fare un esempio, se io fossi un criminale potrei spacciarmi per un dipendente dell’albergo e contattare la cliente dicendo “Buongiorno signora, sono dello Sheraton dove lei è stata fino al 23 ottobre, vedo dal suo questionario che il soggiorno non è stato per nulla di suo gradimento, vorremmo scusarci con un rimborso totale. Ci può confermare che i dati della sua carta di credito sono ancora validi?”. Anche se non dovesse abboccare alla trappola e darmi le coordinate della sua carta di credito, potrei approfittarne per acquisire altri dati personali.

Potrei anche rispondere al signor Matthias fingendo di essere la cliente insoddisfatta e reclamare un rimborso o creare altri equivoci, ma mi trattengo. Non ho molta fantasia, ma un esperto di spear phishing o di burle online potrebbe avere idee più creative delle mie.

Ho appena scritto a Matthias per avvisare del problema:

Hello Mr [omissis],

I’m a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for Mrs [omissis], who was at your hotel up to the 23rd of October. The wrong person is my wife, to whose email address ([omissis]) you have sent your survey.

I emailed [indirizzo di Medallia.com] to warn about this error, but received no reply. I entered bad ratings in your survey form to attract your attention. This appears to have worked. You may want to disregard any results of that survey entry.

 You have leaked personally identifiable information. This appears to be a violation of GDPR and of your privacy policies. You might want to consider the appropriate legal steps for GDPR violations.

 I will be discussing this event this morning (Friday 16th November) during my weekly radio show about IT security. Your comment would be most welcome.

 Sincerely,

 Paolo Attivissimo

Vediamo cosa rispondono: vi terrò aggiornati.

2018/11/16 17:35

Ho scritto alla cliente dello Sheraton involontariamente coinvolta in questo pasticcio:

Dear Ms [omissis],

I am a Swiss-Italian IT journalist, working with Swiss National Radio (rsi.ch). I would like to inform you that my wife, [omissis], has received by mistake your travel information. This is probably due to the fact that your email address is only one letter different from my wife’s ([omissis]@gmail.com).

For example, they have written to my wife about your recent trip to Dubai, which ended on October 23, and told me that you live in Madrid.


I have tried to warn them about their mistake, but they have ignored me repeatedly.


This may be a privacy violation according to the European GDPR.


I have discussed your case anonymously during my radio show (in Italian) for RSI.ch and written about it here as an example of how personal data can be leaked by companies:


https://attivissimo.blogspot.com/2018/11/un-paio-di-settimane-fa-ho-raccontato.html


If you need further details or any information, please do not hesitate to email me.


Sincerely,


Paolo Attivissimo
Lugano, Switzerland

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mia moglie è andata allo Sheraton Grand Hotel di Dubai a mia insaputa (e anche sua): prima parte

Mia moglie è andata allo Sheraton Grand Hotel di Dubai a mia insaputa (e anche sua): prima parte

Ultimo aggiornamento: 2018/11/16 9:00. 

Come custodiscono i nostri dati le aziende alle quali li affidiamo? Maluccio. Vorrei raccontarvi un esempio vissuto personalmente. Mia moglie ha ricevuto ieri una mail di ringraziamento per la sua recente visita allo Sheraton Grand Hotel di Dubai.

La mail è “firmata” da “Bill Marriott, Executive Chairman of the Board, Marriott International, Inc.”. No, non è un tentativo di phishing. È un sondaggio, gestito da Medallia.com. Gestito maldestramente, direi. Perché mia moglie non è mai stata a Dubai, men che meno allo Sheraton di Dubai.

Ci è stata, invece, una donna il cui nome somiglia (ma neanche tanto) a quello di mia moglie. Non lo pubblico qui per ovvie ragioni; quello che conta è che ora so il nome e cognome di una cliente dell’albergo e so anche quando l’ha visitato, con buona pace delle promesse di privacy di Medallia (“customers can be assured that personal data or PII data can be viewed only by those staff or markets who have a need to know.”). Con un minimo di ragionamento posso anche dedurre il suo indirizzo di mail, visto che conosco il suo nome e quello di mia moglie e so qual è l’indirizzo di mail della Dama del Maniero Digitale.

Non solo: ho la possibilità di rispondere per lei al sondaggio che le chiede di descrivere come è stato il suo soggiorno nell’albergo. Vi lascio immaginare quali cose terribili potrei scrivere per mettere nei guai lei, il personale dell’albergo e chi sta gestendo questo sondaggio. Con un po’ di creatività, un criminale potrebbe imbastire facilmente una truffa estremamente credibile (”Buongiorno signora [nome e cognome], con riferimento al suo recente soggiorno presso il nostro albergo, ci risulta non pagato l’ultimo pernottamento; la preghiamo di bonificare al più presto l’importo di 1247,35 dollari sul seguente conto…”). Ma mi sono trattenuto e ho avvisato Medallia. Finora non ho ricevuto risposta.

Lasciando da parte la violazione della privacy subita dalla donna in questione, immaginate quali conseguenze potrebbe avere un errore di gestione del genere in una situazione diversa dalla mia (so per certo che la Dama del Maniero non era a Dubai a mia insaputa e che non farebbe mai nulla del genere): pensate per esempio a una coppia nel quale un partner geloso si mette a sospettare un tradimento per colpa di questa mail.

Un paio di settimane fa ho messo in guardia contro gli errori di geolocalizzazione che possono indurre sospetti infondati; questa mail è un altro caso analogo. Insomma, prima di accusare qualcuno sulla base di dati informatici, andateci cauti.

2018/11/16 9:00

C’è un seguito.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Non tutti i cybercriminali sono dei geni del male

Non tutti i cybercriminali sono dei geni del male

C’è la percezione molto diffusa che i criminali informatici siano geni del male inarrestabili, ma non è affatto così: come in qualunque settore di attività umana, i veri talenti sono pochi, mentre la massa è composta da dilettanti e incompetenti.

Una dimostrazione di questo fatto arriva dai ricercatori di NewSky Security, che hanno analizzato e smantellato una botnet di nome Owari, che usava i dispositivi dell’Internet delle Cose maldestramente protetti per sferrare attacchi informatici di tipo DDoS (distributed denial of service), ossia l’equivalente Internet di intasare e paralizzare il centralino di un’azienda convincendo migliaia di persone a chiamarne il numero contemporaneamente.

I ricercatori hanno scoperto che il server di comando e controllo di questa botnet aveva la porta 3306 (MySQL) aperta e aveva il nome utente e la password più stupidi dell’universo, ossia root:root.

Questo consentiva a chiunque di leggere e scrivere nel database di gestione della botnet. In altre parole, questi attaccanti che sfruttavano le password deboli delle loro vittime avevano a loro volta delle password deboli.

È vero che queste botnet hanno una durata media molto breve, perché spesso vengono scoperte e bloccate nel giro di poche settimane, ma rendere così facile il lavoro dei difensori della Rete fa un po’ sorridere.

Fonte: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque

Buonanotte al secchio. Nel senso di bucket Amazon scrivibili da chiunque

Credit: Victor Gevers.

Avete presente quando si dice che la parola “cloud” andrebbe sostituita mentalmente con “il computer di qualcun altro”? Da oggi bisognerebbe forse usare un’altra frase: “il computer di qualcun altro, aperto a tutti e pure scrivibile da chiunque, sul quale qualcuno lascia messaggi per avvisarti del disastro imminente”.

È quello che stanno scoprendo amaramente le tante aziende e organizzazioni governative che usano i servizi cloud di Amazon, i cosiddetti Amazon Web Services, per mettervi i propri dati. È un sistema potente e flessibile, ma bisogna saperlo usare. A quanto pare molti responsabili informatici non hanno studiato come si usa, perché hanno impostato questi servizi, denominati in gergo bucket (secchio), in modo che possano essere letti da chiunque. E in alcuni casi anche scritti dal primo che passa.

Non è colpa di Amazon, ma dei suoi clienti incompetenti. Clienti con nomi come Uber, Dow Jones, FedEx e persino il Pentagono, che hanno lasciato bene in vista i propri dati in questo modo, come raccontano WeLiveSecurity e la BBC. Secondo i dati della società di sicurezza francese HTTPCS, 1 bucket su 50 non è protetto contro la scrittura.

Mi è stato segnalato, per esempio, un noto canale satellitare europeo che ha la guida TV su Amazon Web Services scrivibile da chiunque. Far comparire qualcos’altro al posto delle immagini di Peppa Pig sarebbe un gioco da ragazzi.

****.s3.amazonaws.com/admin/server/php/files/peppa3.jpg

Gli hacker buoni hanno fatto il possibile, lasciando messaggi di avvertimento nei bucket vulnerabili, ma in molti casi sono rimasti inascoltati. Alcuni esperti di sicurezza hanno contattato le organizzazioni maldestre per avvisarle, ma non sempre sono stati capiti e in alcuni casi rischiano anche ritorsioni legali (che è come rischiare una denuncia perché hai guardato in casa di qualcuno attraverso la finestra, hai visto che c’era un incendio e hai avvisato il proprietario).

Altri hanno preferito creare siti Web come Buckhacker (attualmente offline), che è una sorta di Google per i bucket aperti, in modo da portare il problema all’attenzione dei media.

Il guaio di queste vulnerabilità è che i dati messi a disposizione di chiunque sono spesso i nostri e sono un bersaglio ghiotto e facile per qualunque criminale. Immaginate qualcuno che cancella tutti i dati di un’azienda o di un’agenzia governativa, oppure li blocca con una password che verrà fornita solo in cambio di un riscatto. Se la vostra organizzazione usa gli Amazon Web Services, date un’occhiata alle impostazioni. Amazon ha allestito uno strumento apposito che facilita questo controllo.

Fonte aggiuntiva: Bitdefender.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Fine dell’angoscia per il carattere indiano che crasha gli iCosi

Fine dell’angoscia per il carattere indiano che crasha gli iCosi

Panico generale per gli utenti di iPhone, iPad, Apple Watch, Mac e Apple TV: temono di ricevere in un messaggio il temutissimo carattere della lingua telugu (mostrato qui accanto) che manda in tilt tutti questi dispositivi se viene visualizzato.

Apple ha distribuito oggi un aggiornamento di iOS (11.2.6), macOS (10.13.3), watchOS (4.2.3) e tvOS (11.2.6) che risolve il problema, ma chi ha un dispositivo Apple non aggiornabile rischia di restare indifeso a lungo. E nel frattempo imperversano da giorni i guastafeste che pensano che sia divertente pubblicare nei social network questo carattere in modo da far crashare in massa i dispositivi Apple e mettere nei guai i loro utenti.

Non è la prima volta che i dispositivi Apple o di altre marche vengono messi in crisi da una cosa apparentemente così banale come un semplice carattere tipografico, ma stavolta gli effetti sono molto seri: c’è chi lamenta di non riuscire più a riavviare il telefonino o il tablet, trasformatosi in un costoso fermacarte.

Se potete, installate gli aggiornamenti [nota personale: su un mio Mac Mini del 2014 l’installazione ha richiesto una trentina di minuti, per molti dei quali il Mac non ha dato il minimo segno di vita (schermo totalmente nero); su un MacBook Pro del 2015 ci sono voluti 12 minuti e non ci sono state inquietanti schermate nere]. Se non potete, vi conviene imparare a fare prima di tutto un po’ di prevenzione. Il passo più importante è disattivare le anteprime delle notifiche, perché la paralisi completa del dispositivo avviene quando questo famigerato carattere viene visualizzato in una notifica. Nei dispositivi Apple che usano iOS, andate quindi nelle Impostazioni, scegliete Notifiche e poi scegliete Mai nella sezione Mostra anteprime.

Fatto questo, se qualcuno vi manderà il carattere in questione e non avete (ancora) installato l’aggiornamento, perlomeno non andrà in tilt l’intero dispositivo ma si bloccherà soltanto la specifica app di messaggistica (che può essere Telegram, Snapchat, Twitter o altre ancora). Riavviarla è inutile, perché si bloccherà di nuovo. In questo caso potete provare ad accedere al vostro account di messaggistica usando un’altra versione della stessa app che sta su un computer Windows o Linux o su un dispositivo Android, e cancellare da lì la conversazione che contiene il carattere famigerato. Questi sistemi, infatti, sono immuni al problema che causa il collasso.

Nel caso dell’app Messaggi di iOS, invece, occorre andare nelle Impostazioni, scegliere Generali e poi Spazio libero: qui troverete un elenco di app che include appunto l’app Messaggi. Se la selezionate, potrete poi scegliere la conversazione da eliminare e tutto tornerà a funzionare.

Ma che succede se è troppo tardi e il vostro iPhone o iPad è completamente bloccato? Vi conviene andare da un tecnico e chiedere il suo intervento. Se siete smanettoni e coraggiosi, potete provare a mettere il dispositivo in modalità DFU e tentare un ripristino da zero di iOS. Alcuni coraggiosi hanno tentato di risolvere il problema installando la versione beta (cioè instabile) di iOS 11.3, che ha già eliminato il difetto del carattere telugu. Ma se lo fate senza fare prima un backup perderete tutti i vostri dati.

Come fa un singolo carattere a causare così tanti problemi? In realtà il simbolo è una combinazione di lettere e segni che contiene complesse istruzioni di posizionamento, per cui non è come un semplice carattere alfabetico latino: visualizzarlo richiede invece una serie di calcoli che i sistemi operativi di Apple sbagliavano, causando il tilt.

Questo articolo è derivato dal testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 20 febbraio 2018.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quanto si sono spaventati gli hawaiiani durante l’allarme missilistico? Lo rivela una fonte inattesa

Quanto si sono spaventati gli hawaiiani durante l’allarme missilistico? Lo rivela una fonte inattesa

Il 13 gennaio scorso, alle 8:07 del mattino (ora locale) le autorità hawaiiane hanno diramato per errore a tutta la popolazione un falso allarme che annunciava l’arrivo imminente di un missile balistico. L’allarme è arrivato a tutti i telefonini dello stato ed è stato diffuso automaticamente su tutti i canali televisivi alle Hawaii, interrompendo le trasmissioni. Come se non bastasse, il testo dell’allarme precisava “this is not a drill”, ossia “questa non è un’esercitazione”, ma in realtà lo era. Ci sono voluti 38 lunghissimi minuti prima che venisse diramata la smentita ufficiale.

Molti hawaiiani si sono precipitati su Twitter e sugli altri social network per annunciare con perplessità di aver ricevuto questo allarme, diffondendolo in tutto il mondo. Ma quanti hawaiiani si sono realmente allarmati? C’è un modo molto originale per saperlo, e risponde a una delle regole fondamentali del giornalismo digitale: la Regola dell’informazione laterale. In altre parole: se vuoi sapere come sono andati realmente i fatti, non ti fidare delle parti in causa, ma cerca una fonte che non ha interesse nella questione ma che ha dati che la riguardano.

Questo modo originale è guardare l’andamento del traffico dei siti pornografici alle Hawaii durante l’allarme, visto che è probabile che chi prende sul serio la notizia ufficiale che sta arrivando un missile lasci perdere questo tipo di passatempo. Uno dei siti più popolari del settore ha pubblicato i propri dati (link a copia su Archive.is per non causarvi problemi nella cronologia o con filtri di navigazione), e la traccia dell’allarme è più che evidente:

Rispetto alla media, il traffico del sito è crollato al momento della diffusione dell’allerta, diventando il 77% in meno nel giro di un quarto d’ora. Per contro, dalle 8.45, quando sono arrivate le smentite, le visite al sito sono state il 48% in più della media.

Va detto che al momento non c’è modo di verificare questi dati (in attesa che altri fornitori pubblichino i propri) e che la loro pubblicazione potrebbe anche essere un’astuta trovata promozionale.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.