Vai al contenuto
Come rubare un profilo Facebook senza essere esperti informatici

Come rubare un profilo Facebook senza essere esperti informatici

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/07/05 14:25.

Di solito mi capita di raccontare attacchi informatici basati su vulnerabilità del software usato dagli utenti o su difetti nella sicurezza tecnica dei social network, ma stavolta ho da raccontare un altro approccio, che serve come chiaro promemoria di una cosa fondamentale: siccome noi utenti per i social network siamo soltanto mucche da mungere, a loro della nostra sicurezza non importa praticamente nulla.

Se i nostri post intimi, che abbiamo impostato come privati perché sono appunto privati, finiscono per diventare pubblici per errore, rovinando un’amicizia o un amore o una carriera, il problema è soltanto nostro, non loro. Quindi pensateci bene prima di affidare a un social network qualunque informazione personale, perché per rubarla non ci vuole nemmeno una gran competenza informatica. Basta chiedere educatamente.

Lo sa bene Aaron Thompson, un ventitreenne che vive nel Michigan. Il 26 giugno scorso si è accorto che non poteva più accedere al proprio account Facebook e che l’indirizzo di mail e i numeri di telefono associati all’account erano stati cambiati.

Ha guardato la propria mail e vi ha trovato uno scambio di messaggi fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account. L’intruso, per evitare la verifica in due passaggi (autenticazione a due fattori), aveva mandato una richiesta di aiuto all’assistenza clienti di Facebook, dicendo che aveva perso l’accesso al proprio numero di telefonino e chiedendo di disattivare l’approvazione degli accessi e il generatore di codici. La richiesta dell’intruso non proveniva dall’account di posta di Thompson (“the hacker didn’t have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from.”).

La risposta automatica dell’assistenza clienti era stata molto semplice: l’interlocutore doveva dimostrare di essere il vero Aaron Thompson mandando una scansione di un documento d’identità.

L’intruso aveva risposto mandando questa immagine (alcuni dati sono oscurati nell’immagine qui sotto, ma non lo erano nell’originale inviato a Facebook):

Nessuno dei dati sul passaporto era esatto, a parte il nome, eppure questo è bastato a Facebook per “verificare” l’identità e disattivare tutte le protezioni sull’account di Thompson, cedendone il controllo all’intruso. Facebook poteva confrontare le informazioni nell’account con quelle nel finto passaporto, ma non ha fatto neanche quello.

La motivazione del furto dell’account era probabilmente economica: Thompson ha una serie di pagine Facebook che hanno vari milioni di “Mi piace”, altamente monetizzabili per esempio per uno spammer. Ma l’intruso si è limitato a inviare alcune foto oscene e qualche insulto.

Per riavere il controllo del proprio account su Facebook, Thompson ha dovuto raccontare pubblicamente la propria disavventura su Reddit. La notizia che basta un documento falso per convincere Facebook a disabilitare la verifica in due passaggi, cambiare la mail associata all’account e cambiare la password si è diffusa rapidamente.

Facebook è intervenuta, come racconta Motherboard, e ha ripristinato la situazione, dicendo che “aver accettato questo documento d’identità è stato un errore che ha violato le nostre prassi interne”. Sì, però nel frattempo è successo. Ricordatevelo. E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook adesso traccia anche chi non è utente Facebook

Facebook adesso traccia anche chi non è utente Facebook

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/29 10:20.

Potevo mettere qui un’immagine del logo di Facebook,
ma preferisco metterci un bel gatto.

Se visitate un sito che contiene il pulsante “Mi piace” di Facebook, il social network vi traccia anche se non siete iscritti a Facebook e vi bombarda di pubblicità mirata. L’annuncio ufficiale è uno scossone per il mondo della pubblicità online, finora dominato da colossi come Google. Ora Facebook userà l’immensa mole di dati personali regalatile dagli utenti per profilarli meglio e offrire spot pubblicitari basati sui loro gusti. Lo farà su (quasi) tutti i siti Web e quindi raccoglierà ancora più dati personali, tracciando le navigazioni di tutti.

Se inoltre siete utenti di Facebook, pensate a quante informazioni magari intime avete immesso, pensando che fossero private, e pensate all’idea di trovarvi sullo schermo pubblicità basate su quelle informazioni. Siete tranquilli? Probabilmente no.

Facebook non è l’unica azienda a fare questo genere di profilazione, ma è insieme a Google quella che ha più informazioni personali sugli utenti, e questo può causare problemi d’invadenza.

Se avete un account Facebook e preferite che il social network non vi proponga pubblicità personalizzate, andate a https://www.facebook.com/settings?tab=ads e impostate tutto a No. A questo link, invece, potete vedere quali preferenze pubblicitarie sono state scelte per voi in base alle vostre abitudini e potete eliminare quelle che non gradite.

Se non avete un account Facebook, siete comunque coinvolti in questa novità: l’annuncio dice chiaramente che Facebook sta “espandendo Audience Network in modo che gli inserzionisti e gli sviluppatori possano mostrare pubblicità migliori a tutti – compresi coloro che non usano o non sono connessi a Facebook” (“expanding Audience Network so publishers and developers can show better ads to everyone – including those who don’t use or aren’t connected to Facebook”).

Per contenere l’invasività di questo tipo di tracciamento potete prendere varie misure:

– Su un dispositivo iOS, andate in Impostazioni – Privacy – Pubblicità e attivate Limita raccolta dati.

– Su un dispositivo Android, andate in Impostazioni – Google – Annunci e attivate Disattiva annunci basati sugli interessi.

– Su un personal computer, potete installare un adblocker come per esempio Ublock (gratuito, per tutti i principali browser).

– Potete anche andare alla pagina apposita della Digital Advertising Alliance (dopo aver abilitato temporaneamente i cookie) e disattivare tutte le personalizzazioni pubblicitarie.

– In alternativa, prendete l’abitudine di usare la navigazione privata, ma tenete presente che ha il difetto di non darvi accesso automatico ai vostri account proprio perché non ricorda nulla delle vostre navigazioni.

Sì, lo so: anche il Disinformatico ospita il “Mi piace”. Ma dopo questa svolta di Facebook lo toglierò.

Aggiornamento 2016/06/29 10:20. Ho tolto il pulsante “Mi piace” da questo blog.

Fonti: Graham Cluley, ZDNet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio, la puntata di oggi

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2013/01/13.

Potete scaricare qui il podcast della puntata di stamattina del Disinformatico radiofonico che ho condotto con Rosy Nervi stamattina, parlando dell’attacco informatico ai nameserver svizzeri di ieri mattina (con dettagli tecnici nell’ambito della parola di Internet di questa settimana, che è DDOS), della vulnerabilità della versione più recente di Java (con le raccomandazioni del DHS statunitense e la disattivazione da parte di Apple e Mozilla), dell’allarme fasullo per il gruppo di pedofili su Facebook e della novità più bizzarra dal CES di Las Vegas: il vasino con porta-iPad.

Aggiornamento (2013/01/13): Oracle ha rilasciato un aggiornamento di Java che risolve la specifica vulnerabilità.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: il ritorno dell’“avviso salvaprivacy” per Facebook

Antibufala: il ritorno dell’“avviso salvaprivacy” per Facebook

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ha ripreso a circolare intensamente su Facebook un avviso che per il semplice fatto di essere postato dovrebbe magicamente negare a Facebook il diritto di usare i contenuti pubblicati sul social network dall’utente.

Il messaggio è falso, ma ha comunque una grandissima utilità pubblica: vi permette di riconoscere al volo gli incapaci. Chi lo posta, infatti, non solo massacra l’italiano, ma dimostra anche una totale ignoranza di come funzionano le leggi e i social network.

Come avevo già raccontato quattro anni fa, nel 2012, durante l’epidemia precedente di questa cretinata, chi si iscrive a Facebook sottoscrive un contratto vincolante, che non può essere alterato unilateralmente, né da Facebook, né dall’utente iscritto, senza il consenso di entrambi. Quindi non esiste nessuna formula magica unilaterale. E questa non è una peculiarità di Internet: è una regola di base di tutti i rapporti contrattuali anche nel mondo fisico. Se qualcuno pensa che il mondo funzioni come descritto nell’avviso è meglio saperlo, in modo da non affidargli neanche la gestione degli incarti usati delle caramelle.

Queste condizioni di contratto prevedono che l’utente concede a Facebook “una licenza non esclusiva, trasferibile, che può essere concessa come sottolicenza, libera da royalty e valida in tutto il mondo, che consente l’utilizzo dei Contenuti PI pubblicati su Facebook o in connessione con Facebook (“Licenza PI”). La Licenza PI termina nel momento in cui l’utente elimina il suo account o i Contenuti PI presenti sul suo account, a meno che tali contenuti non siano stati condivisi con terzi e che questi non li abbiano eliminati.”

Ricopio qui sotto il testo della nuova versione in modo che sia facilmente cercabile da chi non ha la triste abitudine di fare copia-incolla-inoltra-a-tutti di qualunque scemenza ricevuta su Facebook:

Scadenza domani!!!
Tutto quello che avete postato diventa pubblico da domani. Anche i messaggi che sono stati eliminati o le foto non autorizzate. Non costa nulla per un semplice copia e incolla, meglio prevenire che curare. Canale 13 ha parlato del cambiamento nella normativa sulla privacy di Facebook.
Io non do facebook o qualsiasi entità associata a facebook il permesso di usare le mie immagini, informazioni, i messaggi o i post, passato e futuro. Con questa dichiarazione, do avviso a Facebook che è severamente vietato divulgare, copiare, distribuire, trasmettere o prendere qualsiasi altra azione contro di me sulla base di questo profilo e/o il suo contenuto. Il contenuto di questo profilo è privato e le informazioni riservate. La violazione della privacy può essere punita dalla legge (UCC 1-308-1 1 308-103 e lo statuto di Roma). Nota: Facebook è ora un’entità pubblica. Tutti i membri devono pubblicare una nota come questa. Se preferisci, puoi copiare e incollare questa versione. Se non pubblichi una dichiarazione almeno una volta, Sarà tatticamente permettendo l’uso delle tue foto, così come le informazioni contenute negli aggiornamenti di stato di profilo. Non condivido. Copia e incolla per stare sul sicuro.

Consiglio alternativo: per stare sul sicuro, cestinate questo avviso. E per stare ancora più sul sicuro, cestinate anche chi ve l’ha mandato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Zuckerberg e la telecamera tappata: perché?

Zuckerberg e la telecamera tappata: perché?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/24 21:55.

Ha suscitato molto interesse e qualche polemica la foto nella quale Mark Zuckerberg festeggia il traguardo dei 500 milioni di utenti raggiunto da Instagram. I più attenti, infatti, hanno notato che sullo sfondo c’è un laptop nel quale la telecamera e la presa per il microfono sono tappati da quello che sembra essere nastro adesivo nero, e si sono chiesti se sia giustificata così tanta paranoia.

La risposta semplice è : esistono software appositi, i remote access trojan (RAT), che prendono il controllo del computer e usano il suo microfono per origliare e la sua telecamera per spiare.

Potete immaginare che vedere e ascoltare i discorsi privati di uno come Zuckerberg faccia gola a molti, e il rischio di attacchi è quindi molto reale. Talmente reale che il boss di Facebook ha già subito attacchi (coronati da successo) contro i suoi account Twitter e Pinterest. E anche il direttore dell’FBI, James Comey, ha ammesso di coprire la propria telecamera: sa che è un rischio reale perché l’FBI e il britannico GCHQ usano già questa tecnica.

Anche una persona comune, non legata alla sorveglianza governativa o a grandi interessi economici, può trovarsi in un guaio per non aver tappato la telecamera del computer, perché esistono specialisti in estorsioni via webcam. La vittima non sa di essere ripresa e finisce per fare davanti alla telecamera qualcosa di privato e imbarazzante: il criminale la registra, per poi contattare la vittima minacciando di pubblicare le immagini se non viene pagato un riscatto. Lo sa bene Cassidy Wolf, all’epoca Miss Teen USA, ricattata da un criminale che era riuscito a fotografarla nuda tramite la sua webcam.

Il consiglio pratico è spegnere e chiudere il computer quando non è in uso e coprire la webcam con un adesivo facilmente rimovibile. Per il microfono, invece di tapparne il foro del connettore con del nastro adesivo è meglio inserire uno spinotto per cuffie non collegato a delle cuffie: questo di solito disabilita il microfono integrato, anche se in alcuni modelli di computer, per esempio nei Mac, è possibile modificare questa disabilitazione via software.

Fonti: Gizmodo, Sophos, ItPro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook traccerà gli utenti quando entreranno nei negozi degli inserzionisti

Facebook traccerà gli utenti quando entreranno nei negozi degli inserzionisti

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/17 14:30.

Se avevate ancora qualche dubbio sul fatto che chi usa i social network non è un cliente ma è un prodotto da vendere, un recente annuncio di Facebook dovrebbe togliervelo.

Facebook ha infatti annunciato che userà la geolocalizzazione, fornita dallo smartphone dell’utente tramite il GPS integrato e la scansione automatica delle reti Wi-Fi vicine, e la abbinerà alle pubblicità viste, allo scopo di informare i rivenditori su quanti utenti vedono la loro pubblicità su Facebook e poi vanno nei loro negozi.

Sarà inoltre possibile sapere quanti di questi utenti effettuano anche un acquisto. Gli utenti, in cambio, avranno il vantaggio di essere avvisati dell’ubicazione del negozio più vicino nel quale è disponibile il prodotto reclamizzato.

Facebook non è l’unica o la prima a offrire un servizio del genere: Google lo fa già con AdWords dal 2014, secondo Sophos. Va detto anche che l’utente non sarà identificato personalmente, perché i dati verranno raccolti in forma aggregata.

Se comunque questo genere di tracciamento vi inquieta, disattivate i servizi di localizzazione: se avete un iPhone o uno smartphone Android che usa la versione 6.0 o successiva di Android, potete farlo selettivamente per l’app di Facebook.

Per l’iPhone, andate in Impostazioni – Privacy – Localizzazione – Facebook e scegliete Mai. Fatelo anche per Messenger, Instagram e WhatsApp, che fanno parte della famiglia di Facebook.

Per gli Android 6.0 o successivi, andate in Impostazioni – Geolocalizzazione – Facebook – Autorizzazioni e disattivate Posizione. Questo è il percorso sul mio Nexus 5x; altri modelli, mi segnalano nei commenti, ne propongono differenti. Per esempio, provate Impostazioni – Generali – Gestione Telefono – Applicazioni – Facebook – Autorizzazioni e disattivate La tua posizione. In alternativa, provate Impostazioni – Applicazioni – Gestione Applicazioni – Facebook – Autorizzazioni e disattivate la voce Posizione. Ripetete la procedura per Messenger, Instagram e WhatsApp. Per gli Android precedenti è disponibile soltanto la disabilitazione generale della geolocalizzazione, spegnendo GPS e Wi-Fi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Rapinatore catturato: Facebook l’ha suggerito alla vittima come amico

Rapinatore catturato: Facebook l’ha suggerito alla vittima come amico

Molti utenti si lamentano della funzione di Facebook che propone nuovi amici: spesso suggerisce persone che non c’entrano nulla con la loro cerchia di conoscenze oppure persone che avevano disperatamente cercato di eliminare dalla propria vita. Ma c’è sicuramente un utente che non ha di che lamentarsi: è la vittima di un criminale a Birmingham, nel Regno Unito. Il malvivente aveva rubato l’auto alla vittima minacciandola con un coltello.

Potete immaginare la sopresa della vittima quando Facebook ha mostrato, fra le persone che poteva conoscere, il volto del malvivente, che è stato identificato e arrestato: si tratta di un ventunenne che si era macchiato di altri reati gravi e ora è stato condannato a 17 anni di carcere, come riferisce la BBC. Gli inquirenti dicono che le informazioni fornite dal social network sono state cruciali per le indagini.

Come è possibile un caso del genere? Facebook incrocia varie fonti di dati: gli amici in comune, l’attività lavorativa, le scuole frequentate e i contatti di mail importati. L’ipotesi più credibile, per ora, è che Facebook abbia proposto il ladro come possibile amico della vittima sulla base dei luoghi frequentati da entrambi. Cosa spinga un criminale ad avere un profilo Facebook nel quale riversa i propri dati personali, compresa la geolocalizzazione e l’indirizzo, è meglio non chiederselo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Violati gli account Twitter e Pinterest di Mark Zuckerberg: usava "dadada" come password?

Violati gli account Twitter e Pinterest di Mark Zuckerberg: usava “dadada” come password?

Fonte: @Ben_Hall.

Qualcuno che si firma OurMine Team ha preso brevemente il controllo degli account Twitter e Pinterest di Mark Zuckerberg, cofondatore di Facebook e li ha usati per pubblicare dei messaggi di scherno. In particolare ha fatto scalpore e suscitato grandi risate la notizia che la password usata da Zuckerberg era un cortissimo “dadada” e che la stessa password era stata usata per entrambi i servizi e anche per il suo account LinkedIn, andando contro le più elementari regole di sicurezza, secondo le quali non si riusano le password e bisogna usare password lunghe e complesse.

Ma le risate hanno distolto l’attenzione da alcuni dettagli importanti: il primo è che a parte le dichiarazioni degli intrusi non ci sono conferme indipendenti che la password fosse davvero così ridicola e quindi potrebbe trattarsi di un espediente mediatico per far diventare virale la notizia. Il secondo è che gli account Twitter e Pinterest di Mark Zuckerberg erano inattivi da tempo, per cui l’intrusione non è grave come può sembrare. Gli account Instagram e Facebook di Zuckerberg, invece, non sono stati violati.

Viene facile pensare che se neppure Zuckerberg è capace di difendersi dagli intrusi informatici, allora gli utenti comuni non hanno speranze e non vale neanche la pena di provarci. In effetti è stato un periodo buio per la sicurezza, con le notizie della pubblicazione di 65 milioni di password Tumblr, 164 milioni di password di LinkedIn, 152 milioni di password di Adobe e 360 milioni di password di Myspace, ma a mio avviso la lezione qui è un’altra: si dimostra la regola che se usate la stessa password per più di un sito fate davvero un favore enorme ai ladri. Basta infatti che uno solo dei siti che usate venga violato e i ladri avranno accesso a tutti i vostri account. Per questo si sospetta che gli account Twitter e Pinterest di Zuckerberg siano stati attaccati con successo sfruttando la massiccia violazione di LinkedIn avvenuta nel 2012.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Informatico viola la sicurezza di Facebook, scopre di essere in compagnia

Informatico viola la sicurezza di Facebook, scopre di essere in compagnia

Ultimo aggiornamento: 2016/05/09 1:50.

Un informatico della società di sicurezza informatica Devcore che si fa chiamare Orange Tsai ha pubblicato un singolare racconto di come è riuscito a penetrare in Facebook e vi ha trovato una sorpresa inaspettata.

In sintesi, Orange ha iniziato con una ricognizione del bersaglio, come si fa spesso in questi casi, scoprendo che Facebook era intestataria di un nome di dominio piuttosto insolito, ossia vpn.tfbnw.net. Da lì ha scoperto che esisteva anche files.fb.com, che era un server dedicato alla collaborazione all’interno dell’azienda.

Il server aveva alcuni difetti di sicurezza, per cui Orange Tsai è riuscito a creare una web shell, ossia è stato in grado di eseguire da remoto comandi sul server come se fosse stato uno dei suoi gestori interni.

Qui è arrivata la sorpresa: si è accorto che sul server di Facebook c’erano molti file che non appartenevano a Facebook ma erano chiaramente avanzi lasciati da un intruso che era arrivato prima di lui. Uno dei file era un log che conteneva delle credenziali di login di Facebook non cifrate: nomi utente e password di dipendenti di Facebook, si presume.

Quando Orange Tsai ha informato Facebook della vulnerabilità, è stato ricompensato con 10.000 dollari di premio, ma Facebook non si è detta particolarmente preoccupata per quello che Orange aveva trovato: gli ha spiegato che l’intruso precedente era una persona che partecipa alla caccia ai difetti di sicurezza promossa da Facebook. Come faccia Facebook a saperlo resta un mistero.

Fonte aggiuntiva: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
No, dal 12 aprile Facebook non permetterà di sapere chi ha visto il vostro profilo

No, dal 12 aprile Facebook non permetterà di sapere chi ha visto il vostro profilo

“Dal 12 aprile Facebook ti mostrerà chi visualizza il tuo profilo e quante volte lo fa”. È un esempio del testo di un allarme che sta circolando su Facebook e sta creando parecchia ansia fra gli utenti. Questo social network, infatti, non consente all’utente di sapere chi ha visualizzato il suo profilo e quindi i curiosi e gli stalker possono sfogliare i profili altri senza lasciare tracce (e al tempo stesso noi ci salviamo dagli amici che ci chiederebbero come mai non seguiamo il loro interessantissimo profilo).

Niente panico: è un falso allarme che riaffiora periodicamente. Come segnala giustamente David Puente, non c’è nessun annuncio ufficiale da parte di Facebook. Anzi, è importante evitare i vari siti e le varie app che promettono di far sapere chi ha visto il nostro profilo: si tratta di esche golose che di solito nascondono virus, rubano password o contengono altre trappole informatiche.



Fonti aggiuntive: Bufale Un Tanto Al Chilo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.