Vai al contenuto
FAQ: “Paolo, mi hanno rubato l’account Instagram/Facebook, mi aiuti?”

FAQ: “Paolo, mi hanno rubato l’account Instagram/Facebook, mi aiuti?”

Ultimo aggiornamento: 2024/07/12 18:00. Questo articolo è stato riscritto
completamente rispetto alla versione iniziale per farlo diventare una guida
generale per i casi di furto di account social.

Le istruzioni in breve

Prima di tutto, niente panico. So che è difficile stare calmi quando
qualcuno ti ruba una cosa importante come il tuo account social e magari
minaccia anche di pubblicare le tue foto intime se non lo paghi o gli mandi altre
tue foto, ma provaci. Se ti agiti, farai solo un favore al criminale.

Detto questo, queste sono le cose più importanti da fare e sapere:

  • Rassegnati: quasi sicuramente il tuo account è perso per sempre. Puoi
    tentare la procedura di recupero indicata qui sotto, ma è rarissimo che
    abbia successo.
  • Rispondi subito che non hai nessuna intenzione di pagare; fai finta che
    non te ne freghi niente    . Di solito questi criminali agiscono per fare soldi, per cui se vedono che
    non c’è speranza di incassare denaro lasciano perdere e passano alla vittima
    successiva, senza neanche perdere tempo a pubblicare le tue foto intime.
  • Non pagare. Se lo fai, il ladro capirà che ci tieni al tuo account e
    dopo che avrai pagato ti chiederà altri soldi, senza ridarti il tuo account.
  • Se il ladro minaccia di pubblicare tue le foto intime se non lo paghi, rispondi che hai
    già fatto segnalazione alla Polizia e sai benissimo che verranno bloccate
    immediatamente dai filtri dei social network. Se te la senti, rispondi anche
    che non te ne importa nulla se qualcuno vede le tue foto intime perché tanto
    non te ne vergogni e vivi in un paese e in una situazione in cui condividere
    immagini intime non è un dramma e lo fanno tutti.
  • Se il ladro minaccia di pubblicare le tue foto intime se non gli mandi altre foto dello stesso tipo, resisti e rifiutati. Se gliele mandi, il ladro non farà altro che chiederti altre immagini sempre più estreme e non ti ridarà mai il controllo del tuo account. Se gliele mandi e sei minorenne, rischi di finire tu nei guai perché manderesti foto intime di un minore (tu) a qualcuno, e questo rischierebbe di essere considerato reato di pedopornografia.
  • Dopo che hai dato queste risposte, non comunicare più con il ladro. Cercherà in tutti i modi di ricattarti e convincerti a fare quello
    che vuole. Ignoralo e ti lascerà perdere. Se tutto va bene, non perderà neanche tempo a pubblicare o disseminare le tue immagini.
  • Non ti fidare di persone che ti contattano dicendo che possono aiutarti a
    recuperare l’account.     Sono quasi sicuramente complici dei criminali.
  • Cambia SUBITO tutte le tue password. Se hai usato per altri servizi
    la password che hai usato per il profilo che ti hanno rubato, il criminale
    potrebbe rubarti anche quei servizi.
  • Avvisa i tuoi amici e contatti social. Il criminale userà il tuo
    profilo per contattarli fingendo di essere te e cercherà di truffare anche
    loro in qualche modo.
  • Fai una segnalazione (non una denuncia) in Polizia. Questo ti
    protegge contro il rischio che il criminale commetta reati usando il tuo
    account e facendo sembrare che li hai commessi tu. Serve anche alle autorità
    per sapere quanto sono diffusi questi furti e quindi assegnare fondi e
    risorse al loro contrasto.
  • Consulta la pagina di aiuto apposita di Instagram
    https://help.instagram.com/368191326593075
    e leggi anche la pagina di segnalazione di furto di account
    https://help.instagram.com/149494825257596?helpref=hc_fnav

  • Per Facebook, leggi le istruzioni per tentare il recupero dell’account
    https://www.facebook.com/help/203305893040179 
    e prova anche questa procedura alternativa
    https://www.facebook.com/hacked

  • Se ti stanno ricattando con immagini intime che ti hanno rubato    , consulta anche queste pagine apposite di Meta, intitolate “Lotta alla sextortion e all’uso improprio di immagini intime”:
    https://about.meta.com/it_IT/actions/safety/topics/bullying-harassment/ncii/ 

In teoria potresti provare a contattare
chi sta usando adesso il tuo account (mandandogli, da un altro account, un messaggio all’account
che ti ha rubato) e chiedergli se è disposto a ridartelo se gli paghi qualcosa. Metti subito in chiaro che non intendi pagare di più di quello
che hai offerto. Scegli di offrire una cifra che puoi permetterti di
perdere: il ladro potrebbe benissimo incassare i tuoi soldi e poi non ridarti il tuo account. Ovviamente non usare carte di credito ma offri di pagare con
Bitcoin o carte prepagate Apple o simili.

Queste invece sono le cose da fare per evitare che ti succeda di nuovo in
futuro:

  • Proteggi i tuoi account con password complicate e differenti. Non
    usare mai la stessa password dappertutto. Lo so che è comodo. Ma è comodo
    anche per i ladri.
  • Attiva l’autenticazione a due fattori. Questo rende
    molto più difficile rubarti l’account.
  • Non dare mai a nessuno eventuali codici di sicurezza che ti
    arrivano sul telefono.
    Quei codici, di solito numeri di sei cifre, permettono al ladro di prendere
    il controllo del tuo account. Non ti fidare, neanche se te li chiede
    qualcuno che dice di essere la Polizia, il servizio clienti di
    Instagram o un tuo amico.

Questo è grosso modo l’articolo originale che avevo scritto a gennaio del
2017 per rispondere pubblicamente a una richiesta di soccorso.

La posta del Disinformatico: aiuto, mi hanno rubato l’account Instagram

Rispondo pubblicamente a Igor, che mi segnala il furto del suo account Instagram
e chiede aiuto:

“Dopo quasi 1 giorno in cui non controllavo il telefono, sono entrato come di
mio solito nel mio account Instagram, con enorme sopresa mi chiede di
effettuare l’accesso, cosa che non mi è mai stata chiesta. Io ci provo, ma
dice che la password è errata. Ho poi provato a ripristinare, ma niente. Mi
diceva che il mio nome utente e la mia email non erano collegati a nessun
account Instagram, cosa alquanto sospetta. Tra l’altro il mio account
Instagram era collegato a quello Facebook. Ho poi scoperto che il mio account
è scomparso da Instagram. Qualcuno, un hacker probabilmente, me l’ha rubato,
oppure ha cercato di rubarlo e Instagram me l’ha cancellato, chiaramente non
lo so perché non ho notizie dal supporto Instagram. Così per caso sono entrato
nella mia casella di posta elettronica e ho trovato delle mail alquanto
sospette, che appena ho visto, con ritardo di quasi 1 giorno ho subito
cestinato. Ho contattato più e più volte l’assistenza ma nessuna risposta. Mi
potresti aiutare? Ti allego gli screenshots delle mail, che ho subito
cestinato, anche gli orari sono particolari, la prima era delle 20 47 e le
successive più di 2 ore dopo. Grazie e scusa per il disturbo. Saluti”

Ciao Igor,

Il tuo caso è particolarmente significativo, perché stando agli screenshot che
mi hai inviato avevi attivato la verifica in due passaggi
[autenticazione a due fattori], per cui quando l’intruso ha tentato di entrare nel tuo account Instagram ti
ha mandato un codice di sicurezza, che in teoria l’intruso avrebbe dovuto
digitare per prendere il controllo del tuo account.

Ti consiglio di consultare la
pagina di aiuto apposita di Instagram, che porta a una serie di consigli e a una
pagina di segnalazione di furto di account; Chimeraevo
ti ricorda inoltre quali dati serviranno a Instagram per tentare di ridarti il controllo
del tuo account: una foto, l’indirizzo di mail usato per iscriverti, le date
dei cambi di password legittimi (se ce ne sono stati) ed informazioni su
contenuti che hai eliminato in passato.

Comunque vada il tentativo di recuperare l’account Instagram, ti consiglio di
cambiare anche le password degli altri servizi online che usi, specialmente se
hai usato per quei servizi la stessa password che hai usato per Instagram,
altrimenti c’è il rischio che l’intruso ti rubi anche il controllo di questi
altri servizi. Ti consiglio inoltre di dissociare l’account Instagram da
quello Facebook, cioè di non accedere a Instagram usando il tuo profilo
Facebook: tienili separati.

Infine, cerca un modo per informare i tuoi contatti Instagram del fatto che ti
è stato rubato il profilo: telefono, mail, post su un altro social. Questo ti
aiuta a riprendere i rapporti con loro e permette di avvisarli di stare in
guardia, perché il ladro del tuo profilo probabilmente cercherà di ingannare i
tuoi contatti, e rubare anche i loro profili, facendo finta di essere te e
usando il fatto che i tuoi contatti si fidano di te.

Secondo me vale la pena, inoltre, che ripassi i
consigli di
prevenzione di Instagram:

  • usa una password robusta (almeno sei caratteri) e differente dalle altre che
    usi altrove;
  • modifica periodicamente la password;
  • non condividerla mai con nessuno, ma specialmente con sconosciuti;
  • verifica la sicurezza della tua casella di mail;
  • esci da Instagram se usi un computer o telefono altrui;
  • fai attenzione ad autorizzare applicazioni di terzi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il tentato phishing ai danni di Elodie

Il tentato phishing ai danni di Elodie

La cantante italiana Elodie ha
segnalato su Instagram di essere stata oggetto di un tentativo di
phishing: qualcuno le ha mandato vari messaggi che sembravano degli
avvisi di sicurezza per un suo account contenente foto ma in realtà erano dei
falsi generati dal suo aggressore. 

Si è accorta in tempo del tentativo e
non è caduta nella trappola. Ha pubblicato i messaggi-truffa, e questo
permette di studiare da vicino un caso concreto di tentato furto di
credenziali che avrebbe potuto avere conseguenze personali e professionali
pesanti.

La prima cosa interessante è il testo degli avvisi, costruito in modo da
sembrare realistico, personale e preoccupante:
“Ciao Elodie, Nuovo accesso al tuo account nei pressi di Milano(Mi).
Autorizza o blocca questo accesso tramite [link]”;
“Ciao Elodie, Come da tua richiesta il download della libreria fotografica
è iniziato. Verifica i tuoi file su [link]”;
“Ciao Elodie, Blocca i tentativi di accesso al tuo account completando il
login su [link]”; e così via. Tutti i messaggi sono pensati in modo da indurre la vittima a
cliccare sul link, dove troverà una finta pagina di login, gestita in realtà
dai truffatori. Se dovesse digitare la propria password in questa pagina
falsa, regalerà il controllo del proprio account ai malviventi.

Il link è la seconda cosa interessante: è sempre uguale, ed ha la forma
bit [punto] ly/accessoSospetto. Anche il nome del link è scelto in modo
da sembrare un riferimento a una pagina di verifica di sicurezza antifrode.

Si tratta di un link abbreviato: la sua versione estesa, e quindi il vero
indirizzo web della pagina-trappola, è
https://www.iclooud[punto]co/b/VerificaAccesso/. Notate l’iclooud
con due O, che è facile scambiare per iCloud di Apple. Secondo
Domaintools,
Iclooud[punto]co risiedeva in Germania all’indirizzo IP 185.219.221.184
ed è stato creato 87 giorni fa, il primo marzo 2021. Ora non risponde più:
meglio così.

Per evitare questo genere di truffa, conviene abituarsi a non cliccare
sui link di allerta e conviene
attivare
l’autenticazione a due fattori. Forse ora che il tentativo di
phishing è capitato a una persona così seguita, un po’ di gente starà
più attenta. Forse.

 

Fonti:
Yahoo Notizie,
Fanpage.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Avete usato Aenigmatica.it? La vostra password è in giro. Cambiatela

Avete usato Aenigmatica.it? La vostra password è in giro. Cambiatela

Ultimo aggiornamento: 2020/08/28 00:15. 

Se vi siete mai chiesti cosa faccio nel mio tempo libero (o perlomeno fra una puntata e l’altra del Disinformatico radiofonico), ora posso levarvi questo cruccio: una delle cose che faccio è la ronda digitale. Niente di sensazionale: è giusto una passeggiata digitale in qualche posto un po’ insolito.

Qualche giorno, durante una tranquilla ronda nei bassifondi di Internet, ho notato la segnalazione del furto e dell’offerta al miglior acquirente di un database di utenti di un sito italiano, Aenigmatica.it, che è uno dei siti della veneratissima Settimana Enigmistica.

L’offerta era credibile e circostanziata, e includeva i nomi utente e le relative password. Mi affretto a dire che io non ho né visto né cercato il database o i suoi contenuti e che non posso pubblicare informazioni precise sull’offerta perché le ho ricevute da fonte giornalisticamente protetta.

Di conseguenza, ho contattato privatamente i responsabili del sito, allertandoli della probabile fuga di dati sensibili.

Il problema non è tanto la rivelazione di chi siano gli utenti di un sito di enigmistica, la cui frequentazione non è certo motivo di scandalo, quanto il fatto che probabilmente molti degli utenti del sito hanno usato anche altrove la password usata per Aenigmatica.it, e quella password adesso è a spasso.

Il database degli utenti di Aenigmatica.it fa gola ai malviventi, insomma, perché potrebbe contenere credenziali di accesso ad altri siti contenenti informazioni ben più delicate: account di mail o di social network, per esempio.

I responsabili del sito hanno accolto la mia segnalazione con molta disponibilità (contrariamente a molti casi precedenti) e hanno quindi pubblicato su Aenigmatica.it questo avviso dopo aver provveduto alle opportune misure sul versante legale:

ANNUNCIO IMPORTANTE:


Siamo stati informati che il database degli utenti della Sfida è stato compromesso.
Se avete utilizzato la stessa password su altri siti raccomandiamo di cambiarla IMMEDIATAMENTE su tutti gli altri siti.


Ci scusiamo con i nostri utenti e garantiamo che stiamo prendendo tutte le misure possibili per evitare che incidenti di questa natura possano ripetersi.

D’intesa con i responsabili del sito, posso ora segnalare pubblicamente il caso. Se siete utenti di Aenigmatica.it e avete usato altrove la password usata lì, cambiatela. E in futuro evitate di usare la stessa password per più di un sito. Utente avvisato, mezzo salvato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
500.000 dollari per una mega-falla di Zoom? Password di Zoom in vendita? Niente panico

500.000 dollari per una mega-falla di Zoom? Password di Zoom in vendita? Niente panico

Avete sentito che qualcuno ha rubato mezzo milione di account e di password di utenti Zoom, li ha messi in vendita e temete problemi? Niente paura. Si tratta di password vecchie, rubate da altri servizi e semplicemente provate dai criminali informatici approfittando della pessima abitudine di molti utenti di usare la stessa password dappertutto.

Il rimedio è semplice: non usate la stessa password dappertutto.

Ben diversa, invece, è la questione delle due falle non ancora corrette che permetterebbero a malintenzionati di prendere il controllo dei computer degli utenti di Zoom (sotto Windows o macOS) e quindi non solo di intercettare le comunicazioni ma anche di rubare dati oppure infettare i computer presi di mira. La falla per Windows sarebbe in vendita nei bassifondi di Internet a ben 500.000 dollari.

Una cifra notevolissima, che difficilmente verrà pagata da una banda criminale ma potrebbe essere accettabile per un governo deciso a spiare un paese rivale, ma che soprattutto fa notizia e ottiene molta visibilità giornalistica. Anche qui, niente panico: si sa già che la falla richiede che l’aggressore stia partecipando a una videoconferenza Zoom con la sua vittima, e questo è uno scenario piuttosto improbabile.

In ogni caso, scaricate gli aggiornamenti delle vostre applicazioni di videoconferenza e controllate chi partecipa alle vostre sessioni.

In realtà gli “attacchi” più frequenti dai quali può capitare di doversi difendere sono di tutt’altro genere: per esempio, gli studenti hanno scoperto che possono sostituire alla propria immagine in diretta un fermo immagine nel quale guardano la telecamera con espressione molto attenta e poi fare tutt’altro mentre ascoltano la lezione. Tanto l’immagine statica si perde fra le tante degli altri studenti. Se siete docenti, quindi, date un’occhiata ogni tanto per vedere se i vostri studenti si muovono o sono insolitamente rigidi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Houseparty è pericoloso? Come nasce un allarme bufala

Houseparty è pericoloso? Come nasce un allarme bufala

Da fine marzo gira in Rete un allarme rimasto finora privo di qualunque conferma: secondo alcuni utenti Houseparty, l’app per le videochiamate di gruppo offerta da Epic Games (quella di Fortnite), sarebbe pericolosa.

Sui social network si sono diffusi messaggi secondo i quali Houseparty permetterebbe ai criminali di rubare le password di altri servizi, come per esempio Spotify o Netflix, o ruberebbe essa stessa queste password.

La diceria si è diffusa in maniera così esplosiva, grazie anche ad articoli su The Sun e sul Mirror (due tabloid sensazionalisti britannici), che Epic Games ha annunciato che darà un milione di dollari alla prima persona che porterà prove di quella che chiama “campagna diffamatoria commerciale pagata”.

Di fatto, finora nessuno è riuscito a dimostrare che Houseparty faccia quello di cui è accusata. Le testimonianze raccolte fin qui, per esempio dalla BBC, puntano tutte nella stessa direzione: un utente di Houseparty riceve un messaggio che lo avverte del presunto allarme, poco dopo gli viene rubato in altro modo un account di qualche altro servizio, e mette erroneamente in relazione le due cose.

Non c’è motivo di temere furti di password da parte di Houseparty, che è stata esaminata dagli esperti e proviene da un’azienda di buona reputazione. Usatela pure, ma è importante tenere presente che nessuno regala niente, per cui Houseparty va tenuta d’occhio perché raccoglie dati personali, come per esempio la geolocalizzazione. Tuttavia è possibile disabilitare la geolocalizzazione, usare uno pseudonimo, scollegare Houseparty dalle altre app social e usare una modalità “privata” per impedire a estranei di unirsi a una conversazione, come segnala Techcrunch.

Fonti aggiuntive: Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Steam sotto attacco: rubati 77˙000 account ogni mese

La password che usiamo nelle reti di gioco sembra una di quelle misure di sicurezza tediose e superflue che gli informatici tendono a imporci senza motivo, ma da Valve, produttore della popolarissima piattaforma software di gioco Steam (100 milioni di utenti), arriva un allarme serio: i furti di account stanno aumentando rapidamente e sono arrivati ormai a circa 77˙000 al mese. “Quelli che erano un piccolo numero di hacker oggi sono una rete organizzata, altamente efficace, che per lavoro ruba e rivende oggetti”.

Gli oggetti sono quelli virtuali dei videogiochi: livelli, poteri, armi, skin e altri elementi che vengono letteralmente rubati e commerciati e che all’interno di giochi come Team Fortress 2 e Counter-Strike: GO possono avere un valore monetario sorprendentemente alto. Rubare la password di un account è quindi molto remunerativo per i criminali informatici.

Come rimediare? A parte l’uso preventivo di password robuste e dell’autenticazione a due fattori, Valve terrà in sospeso gli oggetti commerciati, e lo farà per un massimo di tre giorni: un tempo, si spera, sufficiente per permettere all’utente derubato di accorgersi del furto e della violazione del proprio account. Se gli utenti sono amici questa sospensione sarà più breve.

Fonti: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come impostare l’autenticazione a due fattori in Instagram

Come impostare l’autenticazione a due fattori in Instagram

Ultimo aggiornamento: 2019/08/03 23:55.

Ricordate il caso di Igor, un lettore del Disinformatico al quale avevano rubato l’account Instagram? Dopo averlo recuperato, gli è successo di nuovo. L’immagine qui accanto mostra una parte di quello che si è ritrovato come contenuto del proprio profilo e suggerisce le motivazioni del furto di account: nulla di personale, ma un semplice attacco a caso per sfruttare l’account come fonte di spam.

Colgo l’occasione per descrivere come attivare una misura di sicurezza supplementare sugli account Instagram: l’autenticazione a due fattori, introdotta sperimentalmente da Instagram a gennaio 2016 ma non ancora disponibile a tutti: se l’avete, vi consiglio di attivarla.

Parto dal presupposto che usiate password separate per l’account Instagram e quello Facebook (se ne avete uno) e che non usiate l’accesso a Facebook per autenticarvi su Instagram. Le istruzioni che seguono valgono per qualunque smartphone iOS o Android.

Alcuni lettori mi segnalano che l’autenticazione a due fattori non è disponibile nelle loro installazioni. Al momento non so quale sia la ragione di questa mancanza: nei tre account che ho testato, legati a numeri svizzeri e italiani su Android (screenshot qui accanto) e iOS, l’opzione c’è.

  1. Aprite l’app di Instagram e cliccate sull’icona dell’omino in basso a destra.
  2. Cliccate sull’icona in alto a destra (ingranaggio su iOS, tre puntini su Android).
  3. Cliccate sulla voce Autenticazione a due fattori.
  4. Attivate la voce Richiedi codice di sicurezza.
  5. Vi viene chiesto di dare il numero di telefonino, se non l’avete già dato. Cliccate su Aggiungi numero e immettetelo.
  6. Ricevete un codice di conferma: immettetelo.
  7. Vi viene proposto di fare uno screenshot dei codici di backup. Cliccate su OK e lo screenshot viene effettuato automaticamente.
  8. Ricevete una mail di conferma sull’indirizzo di mail che avete associato all’account Instagram.

Da questo momento in poi potrete accedere al vostro account Instagram dal vostro smartphone (quello di cui avete dato il numero) senza problemi e senza dare codici supplementari. Se invece tentate di accedere all’account da un altro dispositivo (e soprattutto se tenta di farlo qualcuno che vi ha rubato la password), Instagram invierà un codice temporaneo di sei cifre allo smartphone di cui avete dato il numero: l’accesso all’account verrà autorizzato soltanto digitando quelle sei cifre.

Instagram resta insomma utilizzabile senza problemi anche da più di un dispositivo nonostante l’attivazione dell’autenticazione a due fattori: l’ho verificato attivandola sul mio account (disinformatico) sul mio smartphone abituale e poi su un altro mio smartphone. Quando sono entrato nel mio account sul mio computer principale digitando la password dell’account, Instagram ha inviato al mio smartphone un codice temporaneo di accesso che ho dovuto immettere per poter accedere all’account.

Un altro metodo per avere l’autenticazione a due fattori su più dispositivi è descritto qui nella guida di Instagram.

Una volta autorizzato un dispositivo, su quel dispositivo non vi verrà più chiesto il codice di sicurezza; tuttavia il codice verrà chiesto nuovamente se modificate la password.

Consiglio a tutti di attivare questa autenticazione; già che ci siete, date anche un’occhiata a quali applicazioni avete autorizzato nel vostro account.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
I dati Facebook di centinaia di milioni di utenti sono finiti online

I dati Facebook di centinaia di milioni di utenti sono finiti online

Ultimo aggiornamento: 2019/04/06 12:05.

Ci risiamo. Ancora una volta i dati di centinaia di milioni di utenti Facebook sono stati trovati online, accessibili a chiunque abbia un minimo di competenza: nomi, commenti, tipi di interessi e like, nonché in alcuni casi password di app, stavano su un server di Amazon, come racconta Wired.

Li hanno scoperti i ricercatori della società di sicurezza informatica UpGuard. I dati erano stati messi su Amazon non da Facebook, ma da due sviluppatori di app per Facebook. Il social network, insomma, continua a non avere alcun controllo sulla circolazione dei dati personali degli utenti.

I dati erano ospitati sul cloud di Amazon da parte di una società messicana, Cultura Colectiva, che aveva accumulato 146 gigabyte, che includevano 540 milioni di record. Questi dati sono rimasti pubblicamente accessibili per mesi: i ricercatori hanno infatti allertato già a gennaio Cultura Colectiva, ma i dati sono stati tolti da Internet solo pochi giorni fa, guarda caso dopo che Bloomberg ne ha parlato pubblicamente e ha allertato Facebook.

Altri dati appartenevano a un’app denominata At the Pool e contenevano le password di 22.000 utenti (non le password Facebook di questi utenti, ma le password dei loro account su At the Pool). Si tratta di dati risalenti a prima del 2014, visto che At the Pool risulta inattiva da allora.

Questo ennesimo incidente sottolinea l’importanza di diversificare le password dei propri account, perché non si può mai sapere quando uno dei fornitori di questi account, o un suo associato, sarà così maldestro da mettere online l’intero archivio di password dei suoi utenti. Chi usa la stessa password dappertutto si trova così completamente vulnerabile; chi usa password differenziate no.

Password a parte, incidenti come questo mostrano chiaramente che un dato pubblicato su un social network è difficile da eliminare: anche se gli utenti interessati hanno cancellato i propri post o addirittura eliminato i propri account, i loro dati continueranno a circolare. Vale quindi la pena di riflettere attentamente prima di mettere online qualunque cosa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Password svizzere rubate, che fare? Niente panico

Password svizzere rubate, che fare? Niente panico

Molti utenti si sono preoccupati per la notizia di un nuovo grande archivio di password rubate, denominato Collection #1-5, contenente “almeno 78 conti di parlamentari federali”, quelli di migliaia di impiegati della Confederazione e dei Cantoni, e circa 3 milioni di altri account svizzeri.

Ricevo da Michela una domanda: di recente ha controllato se i suoi indirizzi di mail sono su Haveibeenpwned.com e Breachalarm.com, siti che consentono di sapere se un indirizzo è stato incluso in uno di questi archivi e quindi potrebbe essere stato violato. Quanto sono attendibili questi siti?

I siti in sé sono attendibili e gestiti responsabilmente: ma si basano su dati prodotti da criminali informatici, che non hanno necessariamente una grande attendibilità. Questi criminali, infatti, mirano a far soldi vendendo archivi di milioni di indirizzi, per cui riempiono questi archivi con dati non sempre esatti.

Il fatto che fra gli account trovati in questi archivi ci siano quelli di parlamentari federali o di membri dell’esercito non vuol dire che queste persone si siano fatte rubare i dati o le credenziali di accesso. Vuol dire semplicemente che il loro indirizzo di mail è negli archivi.

Ma per i criminali è facile raccattare gli indirizzi di mail di funzionari pubblici, visto che sono pubblicati sui rispettivi siti istituzionali, e poi abbinarli a qualcosa che somigli a una password ma che non è affatto la vera password dell’account, per gonfiare il numero di credenziali presenti nell’archivio da vendere. Lo so perché un “furto” di password analogo l’ho subito anch’io, e la password che era abbinata al mio account non era mia e non lo era mai stata.

Vale tuttavia la pena di cogliere l’occasione per ripassare e magari migliorare le proprie regole di sicurezza informatica:

  • usando password lunghe
  • usando password differenti per ogni servizio
  • attivando l’autenticazione a due fattori
  • usando un password manager di buona reputazione per gestire tutte queste password
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
773 milioni di account rubati e messi online. Compreso (forse) uno mio. Ma quale?

773 milioni di account rubati e messi online. Compreso (forse) uno mio. Ma quale?

Ultimo aggiornamento: 2019/01/17 23:30.

Il ricercatore di sicurezza Troy Hunt, noto per il suo servizio di allerta Have I Been Pwned, ha segnalato l’esistenza di un archivio, circolante in Rete, di circa 773 milioni di indirizzi di mail con relative password. Se volete sapere se il vostro indirizzo è in questo archivio, digitatelo (l’indirizzo, non la password) nella casella apposita di HIBP.

Attenzione: se il vostro indirizzo di mail risulta nell’archivio, non vuol dire necessariamente che è stato violato il vostro account di mail: vuol dire che è stato compromesso uno dei servizi ai quali vi siete iscritti usando quell’indirizzo.

La questione mi tocca personalmente, perché ho ricevuto anch’io un avviso da HIBP (screenshot qui accanto), visto che sono iscritto al suo servizio di allerta.

Il problema è che per quel che ho capito leggendo lo spiegone di Troy Hunt, HIBP non mi dice quale dei miei tanti account per servizi online che ho associato a quell’indirizzo di mail è stato violato.

Ho password differenti e molto robuste per ogni servizio, e ho l’autenticazione a due fattori dappertutto; può darsi che sia un falso allarme e l’archivio contenga dati vecchi (come è successo anche a Troy Hunt) o farlocchi per farne aumentare il volume e quindi l’apparente valore. Però mi piacerebbe togliermi il dubbio prima di cambiare tutte le mie password. Avete idee?

In ogni caso, vi consiglio di verificare se siete anche voi nell’archivio di credenziali rubate. Se poi avete dubbi su qualche password, c’è anche questa verifica per sapere se la password che usate è presente (anche se non associata a un vostro account) negli archivi di password di HIBP.

2019/01/17 16:30

Grazie a un lettore, G.V., ho avuto modo di sapere qual è la password associata al mio account di mail nell’archivio: è una sequenza di quindici cifre che non ho mai usato come password da nessuna parte. O è un hash bizzarro, oppure nel mio caso i dati contenuti nell’archivio non sono reali.

2019/01/17 23:30

L’esperto di sicurezza Brian Krebs è entrato in contatto via Telegram con il venditore di questa collezione di dati personali, che gli ha spiegato che la vende a prezzo stracciato (45 dollari) perché contiene dati di almeno due o tre anni fa. Le raccomandazioni di Krebs, che condivido, sono queste:

  • niente panico, nonostante i titoli sensazionali che trovate in giro;
  • che ci sia o meno il vostro indirizzo di mail in questa collezione, cambiare password non fa mai male, ma non usate password che avete già usato e non usate la stessa password dappertutto;
  • le password più preziose sono quelle che proteggono le nostre caselle di mail, perché se qualcuno prende il controllo di queste caselle può mandare una richiesta di reset delle password di qualunque servizio o account legato all’indirizzo e prendere così il controllo di tutto, perché il link di reset arriva via mail;
  • non usate password, ma usate passphrase: sequenze di parole che vi ricordate facilmente, come bicchiereGiovanniArancione (se il sito ve lo consente);
  • usate un buon password manager;
  • attivate l’autenticazione a due fattori (o verifica in due passaggi): presso Twofactorauth.org potete sapere quali servizi la offrono. Così se vi ruberanno le password non potranno comunque entrare nei vostri account.

Fonte aggiuntiva: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.