Vai al contenuto

Forum di hacking dice di offrire “dati alberghieri italiani” rubati in vendita: se li riconoscete, avvisate le vittime

Ultimo aggiornamento: 2021/11/29 17:30.

Un noto sito web di compravendita di dati
rubati ha pubblicato poco fa un’offerta di dati alberghieri italiani sottratti,
mettendoli in vendita a 250 dollari. La quantità è indicata come “155k”, ma non
è chiaro se si intendano 155.000 record oppure 155 kilobyte di dati
complessivi.

L’offerta (che non ho modo di verificare) include gli schemi dei database
rubati e un campione di dati delle vittime. Pubblico qui solo gli schemi
parziali, così se qualcuno li riconosce può agire opportunamente.

  • email, passwd, lastname, birthday, firstname, secure_key
  • city, phone, other, company, postcode, lastname, address1, address2,
    firstname, vat_number Notes, Name, Email, Surname, Address, Mobile phone,
    VAT number, Company name, Client type code, telephone_delivery,
    NameCartellaImages
  • piva, faxsede, capsede, codSito, nomeSito, emailsede, emailSito, comunesede,
    telefonoSito, responsabile, telefonosede, provinciasede, indirizzosede,
    welcomeMessage, ragionesociale, dominiCollegati, capresponsabile,
    pivaresponsabile, emailresponsabile, telefonoresponsabile 
  • email, Password, ipAddress, language, Name

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Sottratti e messi in vendita i dati di vaccinazione Covid di 7,4 milioni di italiani? Il punto della situazione

Pubblicazione iniziale: 2021/06/12 16:59. Ultimo
aggiornamento: 2021/06/14 10:00.

Stamattina (12/6) è comparso su Twitter un avviso che dice che qualcuno ha
postato su un forum sul deep Web un annuncio che offre (a suo dire) i dati di
vaccinazione Covid di 7,4 milioni di italiani.

So di che forum si tratta, ma non credo che sia opportuno divulgare qui questo
dato. Mi limito a precisare che deep Web non è il dark Web che
piace tanto ai giornalisti sensazionalisti: è semplicemente la parte di
Internet che i motori di ricerca non indicizzano, ed è liberamente
consultabile con un comune browser (non occorre Tor, insomma).

La persona che afferma di avere questi dati ha pubblicato sul forum in
questione un campione dei dati a riprova di quello che dice, precisando che la
versione completa include delle password (circa cinque milioni e mezzo) e che
il dataset è in vendita a un prezzo imprecisato. 

I campi pubblicati finora nel campione sono i seguenti:

  • mail
  • nome
  • ruolo (sempre blank)
  • cognome
  • data_nascita
  • gia_positivo (sempre blank)
  • verificato_2 (yes/no)
  • codice_fiscale
  • tel cellulare

In un altro campione i campi sono invece:

  • anno (quasi sempre 2021)
  • mese (sempre 2)
  • nome
  • email
  • giorno (valore numerico a una o due cifre)
  • status (valori Iscritto o Trasferimento in ingresso)
  • cognome
  • altre_asl
  • privacy_1
  • privacy_2
  • verificato
  • data_nascita
  • verificato_2
  • cap_domicilio
  • cap_residenza
  • codice_fiscale

David Puente su Open
fornisce ulteriori dettagli e sospetta che si tratti di una truffa, nel senso
che i dati non sarebbero privati ma sarebbero in realtà pubblici e di una
categoria ben specifica (i record esaminati da Puente riguardano
“medici, psicologi e psicoterapeuti del Sud Italia”). Anche
ItalianTech
ha pubblicato una prima analisi del campione reso pubblico, che conferma
l’appartenenza dei dati a operatori sanitari, e ha successivamente contattato l’autore dell’annuncio, che dice di aver messo in vendita i dati a 5000 dollari e non ha parole gentili per la competenza tecnica dei gestori dei siti dai quali ha estratto i dati.

Secondo una fonte riservata che conosce direttamente i dati, almeno parte del
campione proverrebbe dal database della web app di vaccinazione della Regione
Campania. Alcune delle persone sarebbero operatori sanitari perché i primi ad
essere vaccinati sono stati appunto questi operatori. Un primo riscontro
sembra confermare che almeno una parte dei dati messi in vendita corrisponde
esattamente al contenuto del database campano.

Sono in contatto con l’autore dell’annuncio, che dichiara che si tratta di
un’aggregazione di vari database provenienti da fonti differenti (circa 150, secondo le informazioni raccolte da Matteo Flora). A suo dire
le password sono in parte in chiaro e per la maggior parte hashed.

Insomma, ci sono dubbi sull’autenticità dell’offerta. Non va dimenticato che
si tratta di un’offerta fatta da una persona che si presenta come criminale
informatico e che quindi ha ogni incentivo per mentire o confondere la
situazione in modo da ottenere la massima monetizzazione delle proprie
attività. 

Questo è quello che so e che posso pubblicare al momento.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Milioni di dati vaccinali italiani in vendita su Internet? Si cercano conferme e fonti

Un noto forum di hacking ha pubblicato un annuncio, al momento non verificato,
secondo il quale sarebbero in vendita sette milioni e mezzo di dati vaccinali
italiani risalenti a giugno 2021. Il venditore dice che i dati includono
indirizzi di mail, password (per lo più hashed),
“nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e
altre informazioni personali”.

Il venditore ha pubblicato due campioni di questi dati, di cui riporto qui
soltanto le strutture e i nomi dei campi:

Per il primo campione (circa 900 record): mail, nome, ruolo, cognome, data_nascita, gia_positivo, verificato_2, codice_fiscale, tel cellulare

Per il secondo campione: anno, mese, nome, email, giorno, status, cognome, altre_asl, privacy_1, privacy_2, verificato, data_nascita, verificato_2, cap_domicilio, cap_residenza, codice_fiscale.

Come sempre in questi casi, non è possibile verificare l’autenticità di queste asserzioni e un controllo a campione dei dati richiede tempo che non ho (anche perché quando ci provo le vittime si allarmano, si offendono o proprio non rispondono). Il riferimento vaccinale potrebbe benissimo essere stato aggiunto dal venditore per rendere più vendibili i dati sottratti.

Se le strutture e i nomi dei campi vi sono familiari perché siete fra i gestori di questi dati, prendete le misure opportune. Adesso sapete che siete stati probabilmente vittima di una sottrazione di dati personali.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Perché dare dati a un’app di tracciamento è più rischioso di quello che già diamo a Internet?

Ultimo aggiornamento: 2020/04/24 15:25.

L’amico e collega Medbunker ha posto oggi su Twitter una domanda alla quale ho provato a dare una risposta rapida. Ricopio qui lo scambio, che magari è utile a qualcuno, con qualche nota e qualche ripulitura.

Per evitare equivoci: non sono contrario per principio alle app di tracciamento per le emergenze sanitarie; sono contrario a quelle fatte male. Scrivo questi appunti non per contrarietà alle app, ma per far capire quanto è dannatamente difficile fare un’app di questo genere in modo efficace e corretto.

Medbunker: Riguardo la app di tracciamento sono incompetente e probabilmente ho i dubbi di tutti. Percepisco un grande problema etico (dati sensibili importanti lasciati a privato). Chi ha competenza chiarirebbe se rischio reale per privacy superiore a quello ordinario di internet? Grazie.

Io: Provo a fare una sintesi. Premetto che il problema principale NON è la privacy, ma la sicurezza, e tutto dipende da _come_ è fatta l’app.

Per privacy:

1. vengono raccolti i tuoi dati di salute, giorno per giorno. Roba che fa gola a tanti. Industrie, marketing, governi rivali.

2. Viene raccolta la catena dei tuoi contatti con le persone. Quindi si sa se vai in moschea, se vai dal ginecologo ( 🙂 ) [Medbunker è appunto ginecologo], se vai dall’avvocato, se vai con escort/amante, se incontri un politico di nascosto, se ti raduni per fondare un movimento di opposizione.

3. Un governo può sapere (SE l’app è fatta male) esattamente chi ha partecipato a una manifestazione di civile protesta. Un potere che fa gola. Tu andresti a manifestare contro il governo se dovessi depositare un tuo documento in Questura per partecipare?

[NOTA: NSA fa già questo genere di raccolta dati con il suo strumento CO-TRAVELER]

4. Google, Apple, Facebook non hanno altrettanto potere. Nemmeno con i loro strumenti di analisi di quello che postiamo e con la localizzazione. Anche perché li possiamo usare senza dare informazioni personali (postando solo gattini e buongiornissimi, per esempio).

Per sicurezza:

5. Qui si tratta di dare a un’app un potere immensamente maggiore di Google/Apple/FB: quello di obbligarci a stare a casa se “risultiamo” positivi a un algoritmo (che non sappiamo quanto sbagli).

6. L’app ti dice: stai a casa, sei entrato in contatto con un positivo. E perdi il lavoro. Questo Google/FB/Apple non te lo fanno.

7. Un troll, un rivale, un terrorista circola in metropolitana con un telefonino che emette il segnale (vero o fasullo) “sono positivo”. Risultato: migliaia di persone si auto-isolano. È come una bomba, ma invisibile e silente. Rischio per chi la usa: zero. Questo fa gola.

[NOTA: Chi obietta che il positivo risulta tale solo dopo diagnosi da
parte di un medico e quindi non è possibile simulare la positività deve
considerare che un troll o terrorista potrebbe anche farsi infettare per
diventare realmente positivo. Chi pensa che nessuno sarebbe così pazzo dia un’occhiata al caso della setta coreana Shincheonji. O pensi al caso della persona che ragiona “sono positivo, ma se sto a casa perdo il lavoro e se lascio a casa il telefono i clienti non mi trovano”, dello studente che pensa “mi metto accanto a una positiva così l‘app mi obbliga a stare a casa da scuola, yay” oppure dello scemo che dice “sono positivo ma esco lo stesso e mi porto pure il telefono perché sono scemo fino in fondo”]

8. È brutto dirlo, ma c’è [presumo che ci sia] in ogni governo una stanza dove un funzionario sta facendo il conteggio di quanto si risparmierà in pensioni a causa della morìa degli anziani. E accanto a quella stanza ce n’è [presumo che ce ne sia] un’altra in cui si pensa come sfruttare la pandemia per indebolire il “nemico”.

9. La campagna antivaccinista, quella anti-5G, quella sulle “scie chimiche” sono tutte alimentate (anche) dai dipartimenti di propaganda di vari paesi. Non è una novità; è semplicemente [la strategia vecchia] confezionata diversamente. Info su @STRATCOMCOE.

10. Logicamente, [è ragionevole presumere che] alcuni governi stiano considerando quale vantaggio strategico possono ottenere indebolendo i rivali tramite canali digitali come appunto i falsi positivi dell’app anti-Covid-19.

11. So che questi discorsi profumano facilmente di complottismo, ma è sufficiente ripassare un po’ di storia (non solo informatica) recente per vedere che questo tipo di strategia esiste da decenni. Cambridge Analytica, RT.com, Voice of America… così fan tutti.

[NOTA: Lolita di Nabokov fu sponsorizzato dagli Stati Uniti come arma contro l’Unione Sovietica per fiaccare il morale e indebolire la propaganda governativa. L’URSS sponsorizzava direttamente o indirettamente i cantanti italiani che si esibivano nei Festival de L’Unità e i cantautori che cantavano cose tristi, deprimenti e sovversive perché criticavano il potere e l’ordine sociale. Così fan tutti]

12. Cina con i dati dell’OPM americano: en.wikipedia.org/wiki/Office_of…. E ovviamente tutte le cosine simpatiche rivelate/confermate da Snowden.

13. Svizzera con la crittografia farlocca (en.wikipedia.org/wiki/Crypto_AG), eccetera. Per questo parlo di rischio sicurezza più che di privacy: perché mi aspetto, logicamente, che qualcuno stia già studiando come sabotare quest’app per indebolire il paese rivale.

14. In fin dei conti, perché spendere in bombardieri e carri armati quando mi basta insinuare nella popolazione del paese bersaglio il dubbio che i vaccini facciano male? Si vaccineranno di meno, moriranno di più, e i costi sanitari saliranno, rendendo quel paese più debole.

15. Per questo gli esperti hanno chiesto in coro di poter verificare che l’app rispetti tutti i criteri di sicurezza oltre che di privacy. Per questo, e per evitare che l’app dia troppo potere al governo locale. Che oggi ti piace, ma domani come sarà? (v. IBM e nazismo).

16. Con questo ho auto-Godwinizzato il thread e quindi mi autozittisco 🙂

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Google+ anticipa la data di chiusura. Se lo usate, affrettatevi

Google+ anticipa la data di chiusura. Se lo usate, affrettatevi

A ottobre scorso Google ha annunciato che avrebbe chiuso la versione consumer di Google+ ad agosto 2019. Ma pochi giorni fa ha cambiato idea: la chiusura verrà anticipata ad aprile 2019.

La ragione della chiusura anticipata è la scoperta di un’altra falla, dopo quella che aveva ispirato la decisione di chiudere Google+.

Quest’altra falla permetteva agli intrusi di carpire nomi, età, genere, stato delle relazioni, indirizzi di mail, indirizzi di abitazione, professioni e/o scuole frequentate e in generale le informazioni del profilo anche quando l’utente le aveva impostate come private.

Sono state risparmiate, per fortuna, le password, anche se i dati personali resi pubblici sarebbero stati sufficienti in molti casi per operazioni di sorveglianza, stalking o molestia. Il danno riguardava circa 52 milioni di utenti.

Se avete immesso in Google+ dati che volete conservare, sbrigatevi a farlo: avete poco più di tre mesi di tempo. Potete farlo anche subito, con questa procedura:

  1. Andate a Google Takeout (takeout.google.com)
  2. Nell’elenco di tipi di dati, cliccate su Deseleziona tutto
  3. Attivate solo la selezione di G+1
  4. Andate in fondo all’elenco e cliccate su Avanti 
  5. Scegliete il formato del file e il metodo di consegna
  6. Cliccate su Crea archivio. 

Buon lavoro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The
Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.

Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Facebook si fa rubare dati personali di 30 milioni di utenti: come sapere se siete colpiti

Facebook si fa rubare dati personali di 30 milioni di utenti: come sapere se siete colpiti

Fonte: Mike Isaac su Twitter.

Ultimo aggiornamento: 2018/10/16 18:25.

Facebook ha ammesso che a metà settembre scorso ha subìto un attacco informatico che è durato due settimane e ha portato al furto dei dati di circa 30 milioni di account.

L’attacco, spiega Ars Technica (anche qui), è stato reso possibile da tre falle distinte presenti da più di due anni nel software del social network, secondo quanto dichiarato dall’azienda, e ha permesso agli intrusi di portarsi a casa anche i dati più personali e privati degli utenti Facebook presi di mira: numeri di telefono, indirizzi di mail, date di nascita, luoghi visitati, argomenti cercati e altre informazioni teoricamente etichettate come private o riservate agli amici.

Per sapere se siete stati colpiti da questo ennesimo attacco potete accedere al vostro account Facebook e poi visitare un’apposita pagina del social network: www.facebook.com/help/securitynotice. La pagina è disponibile soltanto in inglese [aggiornamento: ora anche in italiano] e questo di certo non facilita il compito ai tanti utenti del social network che non parlano correntemente questa lingua.

Se riuscite a superare questo ostacolo troverete in questa pagina un avviso che vi informa se siete tra le decine di milioni di persone colpite da questo attacco. Se vedete scritto “not been impacted” [“non è stato interessato da questo incidente di sicurezza”], siete a posto: se invece vedete un elenco di informazioni personali, siete potenzialmente nei guai, perché l’elenco mostra tutte le vostre informazioni lette dagli intrusi.

Potreste pensare che se non avete messo in Facebook nulla di troppo personale o imbarazzante non correte rischi, ma purtroppo non è così: infatti spesso questi furti in massa di dati personali servono per raccogliere informazioni da usare per altre truffe informatiche e non per effettuare ricatti personali diretti.

Sapere i luoghi che visitate, il vostro numero di telefono e altri vostri dettagli personali consente infatti ai truffatori di confezionare messaggi estremamente personalizzati e credibili, e in alcuni casi anche contatti telefonici diretti, che possono indurvi a fidarvi del mittente o dell’interlocutore e rivelargli informazioni bancarie o password o farvi mandare denaro.

Immaginate per esempio un genitore che riceve via Facebook quello che sembra essere un messaggio urgente dal figlio in vacanza all’estero, che gli chiede di mandargli soldi per tirarlo fuori da un guaio con la carta di credito, ma è in realtà una trappola creata dai truffatori che sanno come si chiama il figlio e sanno anche che è davvero in vacanza.

Spesso non è necessario che i dati rubati siano i vostri: basta che siano quelli di qualche vostro parente, collega o conoscente. Di conseguenza conviene fare molta attenzione, ancora più del solito, a qualunque mail, messaggio o chiamata che usi dati personali vostri o di qualcuno che conoscete per darsi credibilità.

Incidenti come questo sottolineano alcuni principi di prudenza sempre validi: niente di quello che immettete in un social network è da considerare sicuro o privato, e tutto verrà usato contro di voi. Anche i dati più apparentemente innocui. Morale della storia: meno dati reali mettete online, meno rischiate.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Avete volato con Cathay Pacific? Forse hanno preso il volo anche i vostri dati, insieme a quelli di oltre 9 milioni di altre persone

Avete volato con Cathay Pacific? Forse hanno preso il volo anche i vostri dati, insieme a quelli di oltre 9 milioni di altre persone

Dopo la mail errata del sondaggio Sheraton, ecco un altro esempio di scarsa custodia dei nostri dati personali e di ancora più scarsa diligenza nel segnalarne il furto. La compagnia aerea Cathay Pacific ha annunciato due giorni fa che si è fatta rubare i dati di circa 9,4 milioni di passeggeri.

O meglio, per dirla nel modo obliquo in cui l‘ha detta l’azienda, ha annunciato “un evento di sicurezza dei dati che ha effetto sui dati dei clienti”. Ci vuole un po’ di attenzione per capire che vuol dire “ci siamo fatti fregare”.

Sono stati sottratti nomi e cognomi, nazionalità, date di nascita, numeri di telefono, indirizzi di mail, indirizzi postali, numeri di passaporto e di carte d’identità, cronologie dei viaggi e molto altro ancora: tutto il necessario per organizzare truffe e furti di identità.

Come se non bastasse, il furto è avvenuto a maggio scorso ma è stato reso pubblico solo ora. Le normative come il GDPR, però, prevedono che violazioni di questo genere vengano comunicate entro 72 ore. E il GDPR ha effetto in tutto il mondo, se i cittadini colpiti dalla violazione sono europei.

La compagnia aerea ha dichiarato che sta contattando i passeggeri colpiti, ma questo paradossalmente potrebbe complicare le cose: non ci vuole molta originalità per immaginare bande di truffatori che lanciano una campagna di phishing spacciandosi per funzionari della Cathay Pacific che vogliono aiutare le vittime del furto informatico.

Prudenza, quindi, se sospettate di essere coinvolti in questo incidente informatico. Per saperne di più, consultate direttamente l’indirizzo infosecurity.cathaypacific.com.

Fonti: Tripwire, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Migliaia di documenti d’identità liberamente scaricabili online nei “bucket” non protetti

Migliaia di documenti d’identità liberamente scaricabili online nei “bucket” non protetti

Si fa un gran parlare di protezione dei dati digitali, GDPR (regolamento generale sulla protezione dei dati) e relative sanzioni, per cui sembra ragionevole pensare che le aziende siano ben attente nel gestire i dati dei clienti. Il GDPR, in particolare, prevede sanzioni talmente pesanti in caso di fuga di dati sensibili che parrebbe ovvio e inevitabile investire in misure di sicurezza.

È di ieri la notizia della fuga di dati del database di Rousseu, la piattaforma del Movimento 5 Stelle, già protagonista di una precedente fuga: trovate i dettagli su DavidPuente.it e in questo articolo di Martina Pennisi sul Corriere della Sera online. Ma non è certo un caso isolato.

In queste settimane ho seguito un tipo molto specifico di fughe di dati: quelle tramite i bucket di Amazon. I bucket sono degli spazi a noleggio per la custodia dei dati. In pratica, un’azienda, invece di investire in un proprio server nel quale depositare i propri dati, può affittare spazio sui server di Amazon e mettere lì i dati. Amazon garantisce spazio e traffico a volontà: basta pagare.

Il grosso vantaggio è la flessibilità: una piccola azienda può espandersi in fretta senza dover aspettare di comperare dei propri server aggiuntivi, affittando invece spazio su Amazon. Due clic e lo spazio raddoppia, triplica, si decuplica. Quando non serve più si abbandona.

Il problema è che se il bucket non viene configurato correttamente, i dati sono accessibili a chiunque, perché hanno un link pubblico. E non è difficile scovarli. Questo è un esempio di un bucket lasciato aperto, riguardante un’azienda russa:

Basta cliccare su uno qualsiasi dei link e compaiono scansioni di passaporti come questa (ho mascherato io i dati in tutte le immagini seguenti):

In un altro bucket ci sono dati sanitari italiani:

Altrove ci sono backup di database, tessere sanitarie, password, tabelle di contabilità, documenti di tribunali:

Estratti conto di una banca messicana:

La cosa curiosa è che alcuni bucket sono già stati visitati da qualcuno che ha lasciato un cortese avviso:

Hello,
This is a friendly warning that your Amazon AWS S3 bucket settings are wrong.
Anyone can write to this bucket.
Please fix this before a bad guy finds it.

Insomma, il problema è piuttosto diffuso e largamente ignorato.

Magari vi state chiedendo quali tipi di reato si possano compiere realisticamente con una scansione di un documento d’identità. Non voglio regalare spunti criminogeni a nessuno, per cui mi limito a un solo esempio già divulgato: ricordate la truffa “Questa è la tua password, sappiamo che hai visitato siti porno, ti abbiamo registrato, ora paga altrimenti diffonderemo il video”? Ne avevo parlato a luglio scorso.

Immaginate quanto diventa più credibile questa truffa se il suo messaggio dichiara di provenire dalla polizia e include i vostri dati anagrafici, il vostro numero di telefono e il numero di un vostro documento e vi intima di pagare una multa per evitare conseguenze più gravi.

Cosa si fa quando ci si imbatte in casi come questi? La soluzione più diretta sembrerebbe essere quella di contattare le aziende responsabili, ma ve lo sconsiglio: quando lo faccio io, pur qualificandomi come giornalista e informatico, la maggior parte delle volte non vengo creduto.

La cosa più efficace è segnalare dettagliatamente il tutto alle autorità apposite: per esempio, in Svizzera ci sono l’apposita pagina dell’Ufficio Federale di Polizia e quella di MELANI (la ); in Italia ci si rivolge al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Che è quello che ho fatto io per questi casi. Speriamo in bene.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Consigli di sicurezza per gli acquisti natalizi online

Se state andando online a caccia di regali natalizi, siate prudenti, perché anche i truffatori digitali sono in Rete a caccia di vittime in questa stagione. Ecco alcuni consigli di sicurezza per ridurre il rischio di incappare in spiacevoli sorprese.

  • Se potete, usate un computer o un tablet, invece del telefonino, per fare acquisti: lo schermo più grande permette di mostrare più chiaramente le informazioni di sicurezza, come per esempio il nome completo del sito e la presenza del lucchetto chiuso accanto a questo nome. È importante ricordare che il lucchetto chiuso non va preso come garanzia assoluta di identità ma solo come indicatore negativo, nel senso che se non c’è si tratta sicuramente di un sito truffaldino, mentre se c’è potrebbe comunque esserci un inganno, anche se è improbabile.
  • Per evitare i siti trappola conviene restare sui siti commerciali familiari, ben conosciuti, evitando quelli mai visti prima, e digitare manualmente i nomi di questi siti invece di cliccare su link ricevuti nella mail o nelle pubblicità dei social network. I truffatori, infatti, usano spesso mail, messaggi social e pubblicità online per fare offerte troppo belle per essere vere: meglio diffidare di promesse mirabolanti ricevute attraverso questi canali.
  • Occhio anche alle app di shopping: una delle particolarità di questo periodo, infatti, è che i criminali informatici stanno offrendo su App Store e in Google Play delle app ingannevoli, che promettono di facilitare gli acquisti o di attivare supersconti ma in realtà rubano password e carte di credito.
  • Già che ci siete, cogliete l’occasione per aggiornare il vostro antivirus e il software del vostro dispositivo (iOS, Android, MacOS o Windows), per evitare che sia infetto con qualche virus che spia i vostri acquisti e ruba dati finanziari personali.
  • Usare una carta di credito prepagata è preferibile rispetto alla carta di credito tradizionale, perché in caso di furto il truffatore può sottrarre soltanto l’ammontare caricato sulla prepagata, che di solito è molto più modesto rispetto al limite di spesa mensile di una carta di credito ordinaria. È ancora più preferibile, però, evitare del tutto le carte di credito dove possibile e usare i sistemi di pagamento digitali, come PayPal o ApplePay, in modo da non far circolare troppo i dati della propria carta.
  • E a proposito di sistemi di pagamento, è molto importante rifiutare qualunque invito a usare sistemi alternativi a quelli raccomandati dallo specifico sito dove si fanno acquisti. Alcuni venditori, infatti, propongono sconti se si usano altre forme di trasferimento di denaro, ma così facendo si perde ogni garanzia offerta dal sito che ospita la vendita.

Fate buona spesa in Rete, insomma, tenendo sempre gli occhi aperti, e segnatevi fra i buoni propositi per l’anno prossimo quello di controllare gli estratti conto e contestare eventuali addebiti inattesi: siete ben garantiti in questo senso. Nonostante le dicerie e le paure diffuse, se seguite questi semplici consigli tecnici e di buon senso, fare acquisti online è sicuro e fa risparmiare tempo e stress.

Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 19/12/2017. Fonte: Watchguard.com/Secplicity.org.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.