furto d’identità – Attivissimo.me

Quanto è difficile trovare scansioni di documenti d’identità online? Non molto. Le offre il governo italiano

2021-11-27
di Paolo Attivissimo
furto d'identità, googledork, PodcastRSI, privacy, ReteTreRSI

Ultimo aggiornamento: 2021/05/17 08:40.

Un altro giorno, un’altra collezione di scansioni di documenti d’identità
lasciata online, accessibile a chiunque sappia usare Google. Non occorre
conoscere password o altro: basta un banalissimo googledork. Il tweet
qui accanto contiene tutto quello che serve sapere per trovare questi
documenti.

Come è possibile? Molti documenti della pubblica amministrazione italiana
hanno in allegato una scansione della carta d’identità: ho trovato
registrazioni di liquidazioni di prestazioni, lettere commerciali di
affidamento lavori, persino una raccomandata spedita via PEC (ironicamente),
tutte con la loro brava scansione a colori, nitidissima, di un documento
d’identità, usata come “firma digitale”.

Nomi, cognomi, indirizzi, fotografie, estremi dei documenti, dettagli dei
pagamenti effettuati o richiesti, codici IBAN, tutti lasciati online.

Chi è l’irresponsabile che ha messo tutti questi documenti in bella mostra su
Internet? Il Ministero delle Infrastrutture e dei Trasporti.

A quanto pare chi ha progettato il sito non ha considerato che esiste Google,
e che quindi se un file è accessibile senza dover fare login e digitare una
password Google lo troverà e lo indicizzerà, permettendo a chiunque di
trovarlo. In questo caso i file sono accessibili perché hanno un URL pubblico
del tipo

http://trasparenza.mit.gov.it/moduli/downloadFile.php?file%5Bstringa%5D/%5Bnome
file PDF]

Ho sfuocato io le immagini; gli originali online sono perfettamente leggibili.

Disastri di privacy come questo sono frequentissimi e sono ovviamente una
miniera d’oro per qualunque malintenzionato che voglia procurarsi una
scansione di un documento identificativo di qualcuno per impersonarlo,
specialmente ora che la scansione viene considerata equivalente a una firma.

La prossima volta che qualcuno propone di depositare online una copia dei
documenti d’identità, magari affidandola ai social network, allo scopo di
obbligare tutti a identificarsi sui social e quindi proteggersi dai bulli, dai
molestatori e dagli odiatori, ricordate questo caso.

Questa è la pubblica amministrazione di uno stato, che ha degli obblighi di
legge, e li ha verso i propri cittadini. Figuratevi come può tutelare i vostri
documenti personali un’azienda che ha la sede principale all’estero, risponde
soltanto alle leggi del suo paese (forse), al posto dei cittadini ha degli
utenti e ha come esplicito scopo commerciale la vendita dei dati dei propri
utenti.

—

Aggiornamento (2021/05/14 00:10). Se qualcuno avesse in mente di
obiettare
“ma tanto non se ne fanno nulla di queste scansioni di documenti
d’identità, a chi vuoi che interessino”, questo è l’annuncio pubblicato oggi su un noto forum di compravendita di
dati trafugati: vengono offerti dieci euro per ogni carta d’identità.

—

Aggiornamento (2021/05/17 08:40). Di questo caso e di altri analoghi si sono occupati Matteo Flora e Guido Scorza in una puntata di Garantismi.

FAQ: “Paolo, ma il blog ‘il Re della Bufala’ è tuo?

2021-10-11
di Paolo Attivissimo
comunicazioni di servizio, FAQ, furto d'identità

Da anni ricevo segnalazioni di lettori che cercano informazioni su Google usando il mio cognome come una delle parole chiave, in modo da trovare eventuali articoli scritti da me sull’argomento cercato, e incappano in un sito fake:

http://attivissimo-bufala blogspot it

che usa il titolo “Paolo Attivissimo il Re della Bufala”, imita la grafica del Disinformatico, usa la stessa piattaforma di blogging e pubblica una marea di scempiaggini complottiste (screenshot qui accanto).

Il blog ingannevole giace privo di aggiornamenti da novembre 2009 ma continua a confondere molti utenti, anche se i commenti in coda ai post sono piuttosto eloquenti.

Ho segnalato la questione a Google/Blogger come possibile furto d’identità, ma non c’è stato alcun risultato concreto, nonostante il fatto che il gestore del blog usi il mio vero nome e cognome nel proprio profilo e il fatto che il nome del blog causi confusione nei lettori. Forse rientra nel caso di “parodia o satira di persone” previsto dalle condizioni di Google.

Sia come sia, scrivo questo post per chiarire a chi mi segnala quel blog che:

sono al corrente della sua esistenza
non è roba mia
non so chi c’è dietro
l’ho già segnalato a Google come possibile abuso (e l’ho segnalato di nuovo a settembre 2014), ma senza risultato
non ho tempo per insistere sulla questione, ma se volete provarci voi, non ho nulla in contrario
Internet è fatta così
una risata lo seppellirà

Grazie a tutti, comunque, per l’interessamento!

Aggiornamento (2014/10/02): il blog è stato rimosso.

I controlli di sicurezza di Instagram si beffano con 60 dollari: il ban-as-a-service

2021-09-01
di Paolo Attivissimo
furto d'identità, furto di account, Instagram, truffe

Credit: Motherboard.

Motherboard
ha pubblicato un’indagine sul fenomeno del ban-as-a-service: l’attività
criminale di far bandire (o bannare) qualcuno da un social network
usando l’inganno per indurre i gestori del social network a chiudergli
l’account.

Nei bassifondi di Internet, infatti, esistono varie organizzazioni
criminali che offrono questo servizio dietro pagamento. La tariffa è variabile e
dipende dal numero dei follower del bersaglio, ma raramente supera i 60 dollari.
E Instagram, uno dei mercati più fiorenti, spesso non protegge a sufficienza i
propri utenti da questi attacchi, effettuati per dispetto, ripicca, rivalità, concorrenza, vendetta o estorsione.

Il ban-as-a-service opera in questo modo: il criminale crea un profilo
identico a quello del bersaglio, copiandone la foto della bio e la
descrizione. Ma crea questo profilo-clone usando un profilo verificato (uno di quelli con il bollino blu), che magari ha rubato a qualcuno.

Fatto questo, il criminale segnala a Instagram l’account della vittima, accusandola di essere un impostore. Instagram, invece di controllare come stanno le cose (per esempio guardando quale dei due account è stato creato prima o ha caricato di colpo tante foto e cambiato quelle preesistenti), banna l’account della vittima.

Non è l’unica tecnica: le altre sono descritte nell’articolo di Motherboard. Ma la cattiveria dei truffatori non si esaurisce qui. Infatti capita spesso che le vittime del ban vengano contattate prontamente da qualcuno che si offre di rimettere tutto a posto, ovviamente dietro compenso. E stavolta le cifre in gioco sono decisamente più alte: dai 3500 dollari in su.

Se la vittima usa il proprio account Instagram per lavoro, trovarselo bannato è un danno economico notevolissimo, per cui capita spesso che le cifre richieste vengano pagate. Guarda caso, chi si offre di ripristinare a pagamento è in combutta con chi ha effettuato il ban.

In casi come questi, non c’è password o autenticazione a due fattori che tenga, perché questo non è un furto di account, e spetta a Instagram investigare per capire come sono andate le cose e chi è il vero impostore. Non sempre lo fa, stando all’indagine di Motherboard. Se vi capita un problema di questo genere, non vi resta che consultare il Centro assistenza di Instagram, che ha una pagina apposita per il ripristino degli account disabilitati.

EasyJet annuncia un “incidente di sicurezza informatica”: cosa fare?

2020-05-29
di Paolo Attivissimo
acquisti online, carte di credito, Easyjet, furto d'identità, ReteTreRSI

Sono arrivate tante segnalazioni a proposito delle mail, ricevute da clienti EasyJet, nelle quali la compagnia aerea annuncia di aver subìto un “incidente di sicurezza informatica” che ha coinvolto circa nove milioni di clienti, di cui 480.000 in Svizzera.

La mail proviene effettivamente da Easyjet e include un link personalizzato che porta a una pagina del sito della compagnia aerea che contiene le stesse informazioni.

Il testo è piuttosto rassicurante e solitamente dice che “I dati del tuo passaporto e carta di credito non sono stati coinvoli [sic], ma sono state consultate informazioni del luogo di partenza, la destinazione di viaggio, la data di partenza, il numero di riferimento della prenotazione, la data di prenotazione e il valore della prenotazione.”

Ma il testo non è uguale per tutti: se l’avete ricevuto, leggetelo attentamente, perché l’esperto di sicurezza informatica Graham Cluley segnala che alcuni clienti hanno ricevuto una variante della mail che dice chiaramente che sono stati trafugati anche “dettagli di carte di credito (compresa la scadenza e il CVV)”. Se è questa la vostra versione, vi conviene far bloccare subito la carta di credito che avete usato e che è indicata nella mail.

Un altro aspetto interessante è che la fuga di dati è stata annunciata il 19 maggio, ma non viene precisato il momento in cui è avvenuto effettivamente l’attacco, che a quanto pare risale a un paio di mesi prima: chi ha ricevuto la mail con l’allerta riguardante la carta di credito l’ha infatti vista comparire nella propria casella di posta a fine marzo.

Ma come è possibile che EasyJet si sia fatta rubare i CVV? Questi dati normalmente non vengono conservati dai negozi online, e quindi è molto strano che la compagnia parli di trafugamento di questi codici di autorizzazione. L’ipotesi più probabile è che il sito di Easyjet sia stato attaccato e alterato in modo da installarvi un software (per esempio Magecart) che intercettava i dati di pagamento durante le prenotazioni. Non sarebbe la prima volta: la stessa cosa è successa a British Airways a ottobre 2018.

Comunque stiano le cose, resta valido il consiglio della compagnia aerea di fare molta attenzione a possibili tentativi di furto di password o dati personali da parte di truffatori che si spacciano per EasyJet via mail o per telefono. Conoscendo la spavalderia dei criminali, è probabile che tentino addirittura di presentarsi come addetti ai rimborsi e vi chiedano i dati della carta di credito per un presunto risarcimento. Non cascateci.

Rubare un account WhatsApp via SMS? Facile se non ci si protegge

2020-01-17
di Paolo Attivissimo
2FA, autenticazione a due fattori, furto d'identità, ReteTreRSI, Whatsapp

Se vi arriva via SMS un codice di sei cifre e qualcuno ve lo chiede, non dateglielo: vi potrebbe rubare l’account WhatsApp.

La tecnica è questa: il ladro di account vi manda un SMS nel quale finge di essere un comune utente pasticcione che ha inviato un proprio codice a voi per errore e vi chiede cortesemente di rimandarglielo.

Non fatelo. Quel codice è infatti il codice di verifica di WhatsApp. Il ladro sta tentando di rubarvi l’account WhatsApp e ha immesso nell’app il vostro numero di telefono, e quindi WhatsApp ha inviato al vostro telefono l’apposito codice di verifica. Se comunicate questo codice al ladro, gli date tutto quello che gli serve per prendere il controllo del vostro account.

Va detto che il codice di verifica arriva in un messaggio che dice molto chiaramente di non dare il codice a nessuno, ma c’è sempre qualche vittima che non ci fa caso e quindi risponde alla richiesta del ladro.

WhatsApp ha una pagina apposita di istruzioni, che avverte che “WhatsApp non dispone di informazioni sufficienti per identificare la persona che tenta di verificare il tuo account WhatsApp” ma consola notando che “i contenuti condivisi su WhatsApp sono crittografati end-to-end e i messaggi vengono archiviati sul tuo dispositivo, pertanto chi accede al tuo account da un altro dispositivo non può leggere le tue conversazioni precedenti”.

Se il furto va a segno, WhatsApp offre alcune informazioni nell’articolo Furto dell’account e consiglia di abilitare la verifica in due passaggi.

Davvero la ministra italiana Pisano ha detto che dovremmo avere una sola password, e pure di Stato?

2020-01-11
di Paolo Attivissimo
furto d'identità, password, sicurezza informatica, truffe

Per evitare ulteriori confusioni, l’articolo è stato riscritto alla luce delle nuove dichiarazioni della ministra e del Ministero per l’Innovazione italiani. La versione originale è in fondo. Ultimo aggiornamento: 2020/01/11 14:10.

Nei primi minuti della puntata di Eta Beta di Radio Rai di stamattina (riascoltabile qui), la ministra italiana per l’Innovazione Paola Pisano ha fatto una dichiarazione che ha creato un certo sconcerto in Rete, ripreso per esempio da Repubblica. La dichiarazione testuale è questa (quella di ANSA è sbagliata):

Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato, perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino. E lei lo sa quante truffe ci sono sull’identità su Internet.

La ministra ha successivamente chiarito che si riferiva a SPID, il sistema pubblico di identità digitale, non a “user e password”. Però ha parlato di “user e password”, non di SPID. Che sono due cose drasticamente differenti: è come dire “volevo parlare di burro, ma mi è uscito di bocca ‘locomotiva’”.

Da qui è nata la polemica, successivamente chiarita in parte da una rettifica della ministra e del Ministero.

La ministra Pisano ha infatti postato questo tweet di precisazione: “Vediamo di sgombrare il campo da ogni equivoco: l’identità digitale sarà rilasciata dallo Stato e servirà a identificare il cittadino in modo univoco verso lo Stato stesso. In futuro, per aziende e cittadini che lo vorranno, POTREBBE essere ulteriore sistema di autenticazione”.
Il Ministero per l’Innovazione ha poi pubblicato un tweet di ulteriore chiarimento: “Nessuna nuova proposta, né nuova password di Stato. @PaolaPisano_Min a @EtaBetaRadio1 si riferiva a #SPID già usata da 5 mln di italiani. L’intenzione da discutere con tutti gli interlocutori istituzionali competenti è solo quella di affidarne la gestione direttamente allo Stato”.

Quindi no, la ministra non voleva dire che dovremmo avere una sola password, e pure di Stato, ma si è espressa in modo talmente confuso da aver dato quest’impressione.

La dichiarazione della ministra, nonostante le successive correzioni, è comunque molto problematica: usare l’identità digitale fornita dallo Stato (SPID) anche per gli acquisti e i servizi nel settore privato significa collegare le attività private (che in una democrazia non devono interessare a uno Stato) a quelle che riguardano lo Stato (tasse, certificati, atti pubblici), e questa è sempre una pessima idea. Vostra figlia ha il diritto di acquistare un sextoy o leggere Mein Kampf o una guida all’Islam o un sito sull’aborto o la contraccezione senza che lo Stato ci possa mettere il becco o schedarla per le sue abitudini.

Per chi obietta che con SPID lo Stato non sa cosa ha comprato o letto vostra figlia perché non vede cosa fa nel sito nel quale si è loggata usando SPID, va detto che a volte basta che lo Stato (o l’Identity Provider privato che offre il servizio SPID per conto dello Stato) sappia il nome del sito per capire cosa ha comprato, letto o guardato la visitatrice.

È il solito problema dei metadati. Se vostra figlia si logga su Sextoys-per-ragazze punto com, Meinkampf-aveva-ragione punto com, Gravidanza-inattesa punto com, Rovesciare-il-governo punto it o Islam-per-tutti punto info, non ci vuole un grande studio per dedurre i suoi interessi, orientamenti e problemi.

E per “lo Stato” non intendo solo lo Stato attuale, ma tutti gli Stati possibili futuri: ammesso che vi fidiate dello Stato che esiste ora, non potete sapere se salirà al potere un governo che prenderà di mira qualche condizione o pratica che prima era legittima (consumo di droghe, aborto, vasectomia, omosessualità, orientamento religioso o politico, tanto per fare qualche esempio). Anche dichiararsi ebrei nel censimento meccanizzato dall’IBM non sembrava un problema in Germania o in Francia, fino a che è salito al potere il nazismo e ha usato quei dati per uno sterminio di massa.

Per quelli che pensano “ma da noi queste cose non potrebbero mai succedere”, vorrei ricordare che nel 1938 l’Italia introdusse le leggi razziali. E c’è ancora oggi gente che rimpiange quelle leggi e le vorrebbe ripresentare.

—

C’è però un’altra parte della dichiarazione della ministra Pisano che è ancora più problematica: sostenere che “Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato“ significa accentrare nello Stato l’erogazione della sicurezza informatica.

È l’equivalente digitale di dare allo Stato il monopolio sulle serrature delle porte di casa. Cosa succede se salta fuori che il modello di serratura imposto dallo Stato è arcaico e scassinabile? Diventano scassinabili tutte le serrature di tutte le case.

C’è poi il problema dell’accentramento delle credenziali: se un malintenzionato riesce a fare phishing del mio SPID, si sostituisce a me in tutto e per tutto non solo nei miei rapporti con lo Stato, ma anche in tutti gli altri miei rapporti online, perché ho messo tutte le mie uova nello stesso paniere. È l’equivalente di avere una chiave universale per tutte le serrature di casa e farsela rubare.

Aggiungo un altro problema: se si usa lo SPID per accedere ad altri siti non statali (per esempio per fare acquisti o per comunicare tramite i social network), cosa succede se i server SPID vanno in crash o sovraccarico? Non solo non ci si può collegare ai servizi digitali dello Stato, ma non ci si può più collegare neanche ai social network, alla mail, ad Amazon, alla banca, eccetera eccetera. È come avere quell’unica chiave universale e scoprire che si è rotta.

La ministra, di fronte alle obiezioni che le sono subito arrivate, ha corretto quel “dovrebbe” in “potrebbe”.

Infine, giustificarsi dicendo “perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino” è una sciocchezza, perché per comprare un maglione o un biglietto al cinema non c’è bisogno di sapere chi lo compra: è sufficiente sapere che chiunque lo compri abbia soldi per pagarlo. Anzi, se voglio comperare un test di gravidanza, dire il mio nome e cognome potrebbe essere l’ultima cosa che sento il bisogno di fare.

—

Prevengo le inevitabili considerazioni del tipo “beh, però se tutti fossero identificati online dallo Stato, non ci sarebbero le minacce e gli insulti nei social network”. È un mito fasullo, già sviscerato tempo addietro qui. Non funziona così.

La versione originale di questo articolo (2020/01/04)

Per correttezza e traccia cronologica, riporto qui sotto la versione originale del mio articolo, scritta quando la ministra non aveva ancora chiarito che con “user e password” intendeva in realtà SPID. Le considerazioni che seguono valgono per la dichiarazione iniziale della ministra (“un’unica e sola user e password”) e non si applicano necessariamente a SPID.

Nei primi minuti della puntata di Eta Beta di Radio Rai di stamattina (riascoltabile qui), la ministra italiana per l’Innovazione Paola Pisano ha fatto una dichiarazione che ha creato un certo sconcerto in Rete:

Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato, perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino. E lei lo sa quante truffe ci sono sull’identità su Internet.

La dichiarazione della ministra è molto problematica: pensare che si debba usare un’unica coppia username/password dappertutto (non solo verso lo Stato, ma anche verso i privati) significa andare contro uno dei principi di base della sicurezza informatica, ossia mai usare la stessa password e lo stesso username dappertutto. La ragione è semplice: se uso la stessa password ovunque, per esempio, e avviene un furto di password presso uno qualsiasi dei siti che ho usato, il ladro ha accesso a tutti i miei servizi.

Non solo: se gli utenti usano nei siti generici le stesse credenziali che hanno per i rapporti con lo Stato o con la sanità, questo vuol dire che il livello di protezione di quelle credenziali statali diventa quello del più scalcinato dei siti generici che le usano. Per saccheggiare gli account di Stato non c’è bisogno di attaccare i server della pubblica amministrazione: basta attaccare quelli del negozietto online gestito dal cugino del proprietario che è bravo con i videogame e quindi sa tutto di informatica.

Ma c’è anche un problema molto serio di privacy: usare l’identità digitale fornita dallo Stato anche per gli acquisti e i servizi nel settore privato significa collegare le attività private (che non devono interessare a uno Stato) a quelle che riguardano lo Stato (tasse, certificati, atti pubblici), e questa è sempre una pessima idea. Vostra figlia ha il diritto di acquistare un sextoy o Mein Kampf o una guida all’Islam senza che lo Stato ci possa mettere il becco o schedarla per le sue abitudini.

E per “lo Stato” non intendo solo lo Stato attuale, ma tutti gli Stati possibili futuri: ammesso che vi fidiate dello Stato che esiste ora, non potete sapere se salirà al potere una dittatura o semplicemente un governo che prenderà di mira qualche comportamento o condizione che prima era legittima (consumo di droghe, aborto, vasectomia, omosessualità, orientamento religioso o politico, tanto per fare qualche esempio). Anche dichiararsi ebrei nel censimento meccanizzato dall’IBM non sembrava un problema in Germania, fino a che è salito al potere il nazismo e ha usato quei dati per uno sterminio di massa.

La terza parte della dichiarazione è però ancora più problematica: sostenere che “Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato“ significa accentrare nello Stato l’erogazione della sicurezza informatica. È l’equivalente digitale di dare allo Stato il monopolio sulle serrature delle porte di casa. Cosa succede se salta fuori che il modello di serratura imposto dallo Stato è arcaico e scassinabile? Diventano scassinabili tutte le serrature di tutte le case.

Infine, giustificarsi dicendo “perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino” è una sciocchezza, perché per comprare un maglione o un biglietto al cinema non c’è bisogno di sapere chi lo compra: è sufficiente sapere che chiunque lo compri abbia soldi per pagarlo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Instagram, quando bastano un selfie e un numero per finire molestati

2019-03-12
di Paolo Attivissimo
bullismo digitale, furto d'identità, Instagram, molestatori, ReteTreRSI

Ultimo aggiornamento: 2019/01/11 13:10. Alcuni nomi, luoghi e dati di questa storia sono stati alterati per riservatezza.

Che pericolo ci sarà mai a postare un normale selfie su Instagram? Se sei una giovane ragazza, il pericolo c’è eccome, e Instagram non fa praticamente nulla per proteggerti.

Marta (non è il suo vero nome) è una ragazza svizzera minorenne che, come tante persone della sua età, pubblica dei selfie su Instagram: foto normali, nulla di sconveniente. Ha un account pubblico.

Mi ha chiamato chiedendo aiuto perché qualcuno aveva preso uno dei suoi selfie, aveva creato un account Instagram basato sul suo nome e cognome, e aveva messo nel profilo il suo numero di telefonino con le parole “Scopo gratis”, “Sono una zoccola” e altre volgarità.

La ragazza aveva cominciato a ricevere numerose telefonate e molti messaggi su WhatsApp riguardanti quel profilo falso e la sua apparente offerta, e ovviamente si era agitata e spaventata. L’imbecille creatore del profilo forse pensava di fare uno scherzo divertente, una grande spiritosata, ma questa è molestia online; è cyberbullismo.

Le segnalazioni di Marta a Instagram, tramite l’apposita funzione Segnala dell’app di Instagram, non sono servite a nulla. Ho segnalato anch’io l’account fasullo, ottenendo solo questa risposta:

“Grazie per aver trovato il tempo di segnalare l’account di [omissis]. Sebbene analizzando l’account che hai segnalato per furto di identità abbiamo riscontrato che non viola le Linee guida della community, le segnalazioni come la tua rappresentano un aspetto importante che contribuisce a rendere Instagram una piattaforma sicura e accogliente per tutti”

Complimenti, Instagram. Vi segnalano un account nel quale sembra che una minorenne pubblichi il proprio numero di telefono e si offra per fare sesso, e per voi “non viola le regole della community”. E intanto il molestatore continua a tormentare la propria vittima, che non sa più a chi rivolgersi. Sospendere l’account segnalato in attesa di accertamenti no, vero?

Per chi si trovasse nella stessa situazione:

mandate un solo messaggio all’account fasullo (se non vi ha bloccato), dicendogli che quello che sta facendo è molestia e cyberbullismo e quindi è denunciabile, e intimandogli di cancellare subito l’account, ma non dite altro e non dialogate;
chiedete agli amici di segnalare l’account fasullo: è possibile che tante segnalazioni possano attirare l’attenzione dell’assistenza di Instagram;
non limitatevi a cliccare su Segnala nell’app, ma consultate (preferibilmente usando un computer, non il telefonino) la sezione Account che fingono l’identità di altre persone o entità di Instagram: troverete un questionario da compilare, al quale allegare “una foto chiara che ti ritrae con il documento di identità accettato in mano”;
i documenti accettati sono per esempio: certificato di nascita, patente di guida, certificato di matrimonio, documento di identità ufficiale diverso dalla patente di guida (per esempio una carta d’identità nazionale), passaporto;
deve essere la persona impersonata a inviare la segnalazione, dal proprio account (se non ha un account, può seguire la stessa procedura);

In alcuni casi la polizia può intervenire autorevolmente: Instagram spiega qui che “in caso di pericolo imminente per un bambino o rischio di morte o serio danno fisico a una persona, un rappresentante delle forze dell’ordine può inviare una richiesta usando il sistema di richieste online per le forze dell’ordine su facebook.com/records”. In Svizzera, per esempio, c’è il Gruppo Visione Giovani della Polizia Cantonale.

In questo caso, oltre a consigliare a Marta di parlare della situazione con i propri genitori (cosa difficile, lo so) e guidarla nel raggiungere il modulo di segnalazione, ho provato inoltre a scrivere un tweet pubblico ad Adam Mosseri, Head di Instagram, riassumendo la situazione:

@mosseri Swiss journalist here. Young girl is being harassed on Instagram by someone impersonating her, posting her photos, name and phone number and offering free sex. She’s being phoned by harassers. Reported multiple times. Ignored. Is this how you help your users?

Non so se è stato merito del tweet, della segnalazione dettagliata con documento d’identità fatta da Marta o di un ripensamento da parte del molestatore, ma alla fine l’account fasullo è scomparso.

—

Tutto è bene quel che finisce bene, ma purtroppo questa storia ripropone un problema spesso trascurato: più cose personali pubblichi, più è facile che qualcuno ne abusi. E i social network non offrono strumenti di difesa efficaci e rapidi.

È triste doverlo fare, ma mi tocca dare un consiglio: tenete privati i vostri account Instagram se ci mettete cose personali, anche se vi sembrano innocue. Una ragazza avrebbe il diritto di farsi vedere in pubblico senza essere molestata, ma a causa degli imbecilli allupati deve prendere delle precauzioni.

A proposito di imbecilli: il primo di tutti sei tu, quello che ha creato l’account falso. Ma anche gli altri che hanno telefonato a una quattordicenne cercando sesso non sono migliori. Tormentare una ragazzina vi fa sentire grandi? Sì, grandi c*glioni. Fate pena.

500 milioni di account rubati a Marriott, Sheraton e altre catene di alberghi

2018-12-07
di Paolo Attivissimo
EPIC FAIL, estorsione, furto d'identità, furto di dati, privacy, RadioInBlu, spionaggio

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The
Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.

Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Carte d’identità liberamente scaricabili online: una storia di ordinaria insicurezza

Pubblicazione iniziale: 2017/12/15. Ultimo aggiornamento: 2017/12/20 8:40.

Quando raccomando di non inviare via Internet scansioni dei propri documenti d’identità, spesso mi capita di essere accusato di eccessiva paranoia. Ma dai, mi dicono, cosa vuoi che succeda? I siti che chiedono questi documenti li custodiscono bene, no?

No.

Qualche giorno fa mi è arrivata una segnalazione: un sito italiano, Noisigroup.com, che si autodefinisce “il più grande gruppo di incontro Etico e Solidale”, custodiva (si fa per dire) le carte d’identità e altri documenti personali dei propri utenti in chiaro e lo faceva in una cartella pubblicamente accessibile via Internet.

La cartella era https://noisigroup.com/uploadtmp. Ho salvato una copia della cartella (non dei documenti) su Archive.is.

Chiunque, insomma, poteva trovare quei documenti (per esempio con Google) e scaricarli per poi usarli per autenticarsi altrove e commettere truffe e altri reati dando la colpa al titolare dei documenti.

Piuttosto ironicamente, la “Informativa sulla privacy e trattamento dei dati personali” del sito dichiara che “I sistemi sono dotati delle opportune e necessarie misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.” Come no.

Come se questo non bastasse, ho tentato invano di avvisare i responsabili del sito. Ho inviato mail all’indirizzo indicato nella suddetta informativa, che sono tornate respinte (450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table, seguito stamattina da un bel 450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table).

Ho provato a immettere una segnalazione nel modulo Contatti del sito. Ho dato il mio nome e cognome, mi sono qualificato come giornalista informatico e anche dato un numero di telefono.

Nessuna risposta. I documenti sono rimasti online, alla mercé di chiunque. Documenti come questo, che qui mostro in versione anonimizzata.

Alla fine ho provato a segnalare la situazione alla Polizia Postale italiana, scoprendo però che il modulo online (accessibile soltanto dopo essersi registrati con nome e password) non prevede un’opzione per i documenti trovati online. Comunque i numeri di telefono e gli indirizzi di mail della Polizia Postale sono qui su Facebook.

Grazie anche alle dritte arrivatemi nel frattempo dai lettori, ho segnalato la questione al Garante per la Protezione dei Dati Personali, gratuitamente e con una semplice mail. Il Garante ha avviato un provvedimento di blocco e i documenti ora non sono più online nel sito, ma restano a spasso su Internet, nelle mani di chiunque voglia abusarne.

Purtroppo so, da quello che mi scrivete, che molti siti hanno la stessa irresponsabile sciatteria nel custodire i nostri dati. Conviene quindi imparare a darli il meno possibile oppure prendere alcune precauzioni, come quella segnalata nei commenti dopo la pubblicazione iniziale di questo articolo, ossia includere nella scansione, in maniera difficilmente rimovibile, una dicitura che specifichi lo scopo della scansione e il suo unico destinatario legittimo, in modo da evitarne il riuso da parte di terzi.

2017/12/20

Stamattina ho visto che il sito Noisigroup.com è completamente inaccessibile. La cache di Google, che risale al 17 dicembre, mostra la dicitura “Sito off-line per manutenzione – Il sito tornerà ad essere operativo a brevissimo!”. Lo stesso vale per una copia salvata su Archive.is il 18 dicembre.

Attenzione alle false promozioni di grandi marche su WhatsApp

2017-11-17
di Paolo Attivissimo
crimine online, furto d'identità, ReteTreRSI, truffa, Whatsapp

Credit: BBC.

La BBC segnala un’ondata di messaggi truffaldini circolanti su WhatsApp: si tratta di inviti a cliccare su un link per ricevere quelli che dovrebbero essere buoni sconto di supermercati molto noti se si partecipa a un semplice sondaggio e si manda il messaggio a venti dei propri amici. Lo scopo di questa truffa è raccogliere dati personali, come nomi, indirizzi e coordinate di carte di credito.

Fra i nomi colpiti, secondo il sito ActionFraud della polizia britannica, ci sono Marks and Spencer, Tesco, Asda, Nike, Lidl, Aldi e anche Singapore Airlines. È probabile che la stessa truffa circoli anche in versioni nazionali in altri paesi europei.

I messaggi sono molto credibili perché i link che presentano sono quasi identici a quelli dei veri siti dei supermercati presi di mira: è facile non accorgersi che sotto o sopra una delle lettere che compongono il nome del sito c’è un puntino, o che la lettera è barrata in alto.

La tecnica è nota come internationalized domain name homograph attack: in sintesi, i truffatori creano un sito il cui nome usa lettere di alfabeti diversi da quello latino. Per esempio, al posto di Aldi.com (il sito autentico) creano il sito Alḍi.com oppure Alđi.com e vi mettono delle pagine che somigliano a quelle del vero supermercato. Le vittime immettono i propri dati personali in queste pagine, credendo di poter ricevere un premio, e invece vengono imbrogliate.

I servizi antifrode di Internet hanno già messo un blocco su molti di questi siti ingannevoli, ma è meglio restare vigili e guardare sempre con molta attenzione il nome del sito linkato in qualunque messaggio, diffidando come sempre delle offerte troppo belle per essere vere.

Soprattutto è importante non ubbidire mai agli inviti a inoltrare un messaggio pubblicitario ad altri utenti: se lo fate, rendete più credibile la truffa, perché i vostri amici la ricevono da una fonte di cui si fidano, cioè voi.

zoomx su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Magari il software di allunaggio non era ancora pronto. Nei sorgenti dei sorgenti dell'AGC del LEM Luminary099 ad esempio questo…
Poz su Artemis II, attenzione alle foto false sui social
L'ultima foto è sicuramente vera. Dall'angolazione si vede perfettamente che è stata ripresa da un terrazzino nel Sanremese.
Paolo Attivissimo su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Non lo so. Ma tutta la faccenda di un ipotetico allunaggio con Apollo 10 è intrisa di miti e leggende.…
Pupazzone su Artemis II, attenzione alle foto false sui social
Queste foto continueranno a circolare e i fresconi che si bevono la notizia ci saranno sempre. Purtroppo ho avuto occasione…
Claudio Fe su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Prossime tappe: [...] "Peccato" (ironico, ma non troppo) che non ci sia una missione stile Apollo 10, dove c'era abbastanza…
PGC New Edition su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Dipende da quanto piccolo" sia.... un "piccolo detrito", ma al contrario di Paolo immagino che sarebbe un GROSSO problema. Un…
Ste su Artemis II, attenzione alle foto false sui social
Nella foto del paracadute i cavi tra capsula e paracadute sono lunghi meno della metà di quelli veri
Giacomo su Ricevi spam e mail truffaldine? Spamnesty risponde per te e le combatte
Scusa il necroposting, ma era ovvio che il tizio dietro questo progetto avrebbe fatto qualcosa di livello superiore al tempo…
Davide Francesco Maria Galli su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Allora si, ora ho capito (calcolando anche le altre parti, andava a 131km/s, quindi troppo veloce la parte). Devo vedermi…
Paolo Attivissimo su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Sono io che ho scritto di fretta, seguendo gli annunci della NASA. Dovrei riascoltare la registrazione della diretta. Probabilmente l'annunciatore…

Archivi