Vai al contenuto
Mastodon, come funziona la ricerca?

Mastodon, come funziona la ricerca?

Ho aggiornato l’Efficercatore, il mio libro-sito dedicato alle tecniche di ricerca di informazioni online, per includere la ricerca in Mastodon, che è stata introdotta di recente.

La ricerca in Mastodon è molto diversa da quella negli altri social network: in estrema sintesi, è volutamente più limitata, perché tiene conto del fatto che ci possono essere circostanze nelle quali, per proteggere l’utente, è preferibile non permettere la ricerca.

Un altro motivo di questa limitazione è che Mastodon è un social network federato, composto da un arcipelago di server indipendenti interconnessi, chiamati istanze, che possono usare versioni differenti di software e configurarle in modi differenti e non dipendono da un coordinamento centrale. Le istanze che hanno installato la versione 4.2.0 o superiore di Mastodon possono consentire la ricerca di testo, ma non sono obbligate a farlo.

Inoltre i singoli utenti possono decidere se vogliono che i loro post siano cercabili (opt-in). Questa decisione si imposta andando nelle Preferenze di privacy del proprio account Mastodon (https://[istanza]settings/privacy) e attivando le opzioni Include il profilo e i post negli algoritmi di scoperta, Includi i post pubblici nei risultati di ricerca e Includi la pagina del profilo nei motori di ricerca.

La ricerca standard di Mastodon consente all’utente:

  • di cercare il nome dell’account di un altro utente o un hashtag;
  • di cercare testo nei propri post, nei post contrassegnati come preferiti o segnalibro e nelle menzioni.

Intenzionalmente, la ricerca standard di Mastodon non consente di cercare stringhe arbitrarie nell’intero database, per ridurre il rischio di abusi da parte di persone che cerchino parole chiave controverse per aggredire le persone che le hanno usate. Tuttavia questa limitazione viene eliminata se è disponibile la funzione Elasticsearch, che consente la ricerca full-text nei post degli utenti, purché abbiano scelto l’opt-in, ossia abbiano deciso di rendere cercabili i propri post.

Nella casella di ricerca di Mastodon si possono usare vari operatori:

  • OR per cercare i post che contengono almeno una delle parole chiave indicate
  • “[sequenza]” per cercare i post che contengono l’esatta sequenza di parole chiave, racchiuse tra virgolette
  • -[parola] per escludere dai risultati la parola chiave indicata
  • has:image per cercare i post che contengono immagini
  • has:video per cercare i post che contengono video
  • has:media per cercare i post che contengono media in generale
  • has:poll per cercare i post che contengono sondaggi
  • has:link per cercare i post che contengono link
  • has:embed per cercare i post che contengono embed
  • is:sensitive per cercare i post che sono etichetttati come contenuto sensibile
  • is:reply per cercare i post di risposta
  • language:[lingua] per cercare i post scritti in una lingua specifica (per esempio en per l’inglese)
  • before:[data] per cercare i post pubblicati prima di una certa data (nel formato anno-mese-giorno)
  • after:[data] per cercare i post pubblicati dopo una certa data (nel formato anno-mese-giorno)
  • during:[data] per cercare i post pubblicati durante una certa data (nel formato anno-mese-giorno)
  • from:[nomeutente] per cercare i post pubblicati da uno specifico utente

[Fonti: Mastodon Migration; Join Mastodon; ]

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Nuova edizione dell’“Efficercatore”: la mia miniguida ai motori di ricerca

Ho colto l’occasione del Corso per indagatori di misteri del CICAP, per il quale ho preparato una sessione di uso avanzato dei motori di ricerca per le indagini digitali e la verifica delle informazioni, per aggiornare massicciamente la mia miniguida online dedicata a queste tecnologie di reperimento di informazioni online.

Visto che la stavo risistemando, le ho anche finalmente trovato un titolo: L’Efficercatore. In realtà il titolo l’ha suggerito ChatGPT dietro mia insistenza, chiedendogli di creare un nome interessante per un libro dedicato ai motori di ricerca, inventando una parola nuova che riassumesse il concetto di cercare e trovare più efficientemente le informazioni, e il software ha risposto “Efficercare: la scienza di trovare l’informazione giusta al momento giusto con i motori di ricerca”, che non è affatto male. Io poi l’ho semplificato in L’Efficercatore, che ha il pregio supplementare di essere un nome di sottodominio libero su Blogspot.

Anche l’illustrazione di copertina è opera del software di intelligenza artificiale, specificamente di Lexica.art. Se siete curiosi, il prompt che ho usato è “A smiling androgynous person with a wide jaw and protruding cheekbones studying on multiple monitors at his desk, by makoto shinkai and ghibli studio, dramatic lighting, highly detailed, incredible quality”, che mi è stato suggerito in parte da Lexica.art.

La mia miniguida è offerta gratuitamente sotto licenza Creative Commons. La trovate presso https://efficercatore.blogspot.com. Buona lettura, e se trovate errori o passaggi non chiari, ditemelo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Riconoscere le canzoni con Google, senza installare app

Riconoscere le canzoni con Google, senza installare app

Se vi capita di sentire una canzone alla radio o in giro e non sapete di che brano si tratti, ci sono da tempo applicazioni come Shazam, ma l’amico Paolo Amoroso segnala una chicca che evita di dover installare app dedicate: su Android si può usare l’app di Google.

 
È sufficiente avvicinare lo smartphone alla fonte della musica e poi toccare l’icona del microfono nella casella di ricerca di Google sullo smartphone. Questo attiva non solo il riconoscimento vocale convenzionale di Google ma fa comparire in basso un’opzione aggiuntiva: Che cos’è questo brano?
 
A questo punto si tocca l’icona della nota e Google si mette in ascolto del brano, per poi tentare di identificarlo. Non funziona sempre, ma è un trucchetto potenzialmente utile in caso di emergenza musicale.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ecosia.org, il motore di ricerca che “salva la foresta pluviale”

Ecosia.org, il motore di ricerca che “salva la foresta pluviale”

Questo articolo vi arriva grazie alle gentili donazioni di “daniele-a****” e “giovannifan****”. L’articolo è stato ampiamente aggiornato dopo la pubblicazione iniziale del 2010/01/18. Ultimo aggiornamento: 2020/01/02 17:40.

Per chi ha fretta: Ecosia, al suo debutto nel 2010, era in una situazione poco chiara. Attualmente (2020) è probabilmente affidabile, con alcune cautele e precisazioni che trovate nel resto dell’articolo.

In dettaglio: Sarà che ne ho viste troppe, sarà che l’età mi rende scettico, sarà che quando qualcuno propone un modo troppo facile per fare del bene (“Dai un’occhiata e inoltra questa email agli amici. Essere ecologisti non è mai stato così facile…”) mi ronza subito il bufalometro, ma c’è qualcosa nella proposta di Ecosia.org che per ora non mi quadra. Mi farebbe molto piacere poterla confermare come autentica, ma per ora [2010] non ho elementi sufficienti a chiarire con certezza la situazione [2018/02/20: leggete gli aggiornamenti in fondo all’articolo].

Di conseguenza, rispondo alle vostre richieste pubblicando qui quello che ho trovato fino a questo punto e chiedendo il vostro aiuto per risolvere il caso. Ho già contattato l’addetto stampa italiano di Ecosia per avere chiarimenti [2010/01/22: li trovate in fondo all’articolo].

Ecosia.org si dichiara un motore di ricerca “ecologico”, come spiegano il video e le recensioni comparse nei media (Sole 24 Ore, Eweek). Lanciato il 7 dicembre 2009, dichiara di finanziare con l’80% dei propri ricavi un progetto di protezione della foresta pluviale nel Juruena National Park in Amazzonia. Funziona così: ogni volta che un utente effettua una ricerca tramite Ecosia.org e clicca sui link sponsorizzati, vengono “salvati” mediamente due metri quadrati di foresta pluviale. Inoltre Ecosia dichiara di usare energia pulita per le proprie attività, a differenza dei concorrenti (in particolare Google).

Ecosia dichiara di essere partner di Bing (Microsoft) e Yahoo (“Abbiamo stretto una partnership con il WWF, Bing e Yahoo per far funzionare il nostro motore di ricerca”), ma non ho trovato alcun accenno a questa collaborazione nel blog ufficiale di Bing o in quello di Yahoo [2010/01/22: Ecosia ha risposto a questa mia perplessità, come riportato più sotto].

Se ne parla invece nel sito del WWF, per esempio qui (link aggiornato), ma le informazioni risalgono a prima del lancio di Ecosia. Alcuni utenti manifestano perplessità nei commenti alla versione inglese dell’articolo del WWF.

Aggiornamento 2010/01/21: la versione inglese dell’articolo a cui mi riferisco è stata rimossa e sostituita da una che non parla più di Ecosia e non contiene commenti; quella che ho visto io, con i commenti, è ancora presente nella cache di Google ed è mostrata qui sotto, cliccabile per ingrandirla.

Nelle FAQ di Ecosia viene detto che “Ecosia è registrata ufficialmente come società” e specificamente che il fondatore è “Christian Kroll (26 anni) e ha base a Wittenberg (Germania)”. Un’altra pagina del sito indica come indirizzo della società “Berliner Chaussee 50 – 06886 Wittenberg – Germany”. Tuttavia le mie ricerche nell’Handelsregister e nell’Unternehmensregister (registri delle società) non trovano nessuna società di nome Ecosia [2010/01/22: Ecosia ha risposto a questa mia perplessità, come riportato più sotto].

Nelle Pagine Gialle tedesche non c’è nessuna voce “Ecosia” (ma va detto che non è obbligatorio registrarsi). Nelle Pagine Bianche tedesche non c’è un Christian Kroll a quell’indirizzo di Wittenberg, ma c’è un Jürgen Kroll: parente?

Il nome di dominio Ecosia.org è registrato a nome di Christian Kroll all’indirizzo della società, secondo una consultazione di whois. Il profilo pubblico di Kroll è decisamente scarno, ma cita un progetto analogo precedente di Kroll, Forestle.org, che dichiara di aver “salvato piu di 3,618,700.3 m² di foresta!”. Un’area equivalente a meno di Central Park a New York, secondo i dati del sito stesso.

Il progetto Forestle.org si appoggiava inizialmente a Google (era in pratica un semplice Custom Search che prometteva di dirigere i propri proventi a progetti ecologici, come descritto qui), ma dopo quattro giorni di attività Google terminò i rapporti con Forestle per una disputa su presunti “incentivi a cliccare artificialmente sui link sponsorizzati”. Come raccontano per esempio Ars Technica e The Inquirer, Forestle ribatté di non aver fatto nulla del genere e invitò gli utenti a cliccare su Znout.com, un sito che non prometteva donazioni ecologiche. In seguito Forestle ha adottato Yahoo come partner.

Eweek segnala la vena polemica di Ecosia nei confronti di Google, accusata di essere grande consumatrice d’energia, e verifica alcuni dei dati dichiarati nel video promozionale del motore di ricerca “ecologico”. Viene subito un dubbio: se l’accusa di Ecosia è valida per Google, perché non lo è per Bing e Yahoo?

Inoltre la precisazione “i nostri server sono alimentati a energia verde” pare piuttosto ingannevole, perché non sono i server di Ecosia a fare le ricerche, ma quelli di Bing e Yahoo. Ecosia è soltanto una facciata: il vero lavoro di ricerca lo fanno i suoi grandi partner. Come sono alimentati i server di Bing e Yahoo?

C’è poi il testo della mail che Ecosia invita gli utenti ad inviare a tutti i propri contatti e-mail: “Di recente ho iniziato a utilizzare un motore di ricerca che salva 2 m² di foresta pluviale ogni ricerca effettuata. I risultati di ricerca sono buoni come quelli di Google o Yahoo ed è gratuito”. È sbagliato su due livelli.

Il primo è che non è vero che Ecosia salva due metri quadrati di foresta per ogni ricerca effettuata: il meccanismo di introiti che consente di salvarli scatta soltanto se l’utente clicca sui link sponsorizzati, non quando l’utente effettua una ricerca. C’è una bella differenza.

Il secondo è che è sbagliato dire che i risultati delle ricerche di Ecosia sono “buoni come quelli di Google o Yahoo”. Questo dà l’impressione che Ecosia abbia dei propri server di ricerca. In realtà i risultati non sono buoni come quelli di Google o Yahoo: sono proprio quelli di Yahoo (e Bing).

Insomma, per ora la situazione non è molto chiara: ci sono troppe carenze informative e troppe espressioni ingannevoli. Se qualcuno scopre dettagli ulteriori, me li segnali via mail o nei commenti.

2010/01/21

Il 18 gennaio ho inviato alcune domande via mail al Country Manager italiano di Ecosia, che mi ha risposto il giorno successivo.

Ho chiesto se esiste un comunicato stampa di Bing o Yahoo che annuncia la partnership: la risposta è che né Bing né Yahoo hanno pubblicato un comunicato stampa sul lancio di Ecosia, ma posso accertarmi della veridicità della partnership contattando degli indirizzi di Microsoft e di DDC (la società che gestisce le partnership di Yahoo).

Ho chiesto come mai non trovo la registrazione ufficiale di Ecosia come società: la risposta è che Ecosia è una società di persone di proprietà di un privato, Christian Kroll, e per questo non si trova nell’Handelsregister.

In effetti una GbR (Gesellschaft bürgerlichen Rechts) come quella di Kroll, una sorta di ditta individuale, non ha l’obbligo di registrarsi nell’Handelsregister, stando ad Angloinfo.com.

Sono in contatto via mail con Christian Kroll e gli ho girato altre domande riguardanti la poca chiarezza delle dichiarazioni presenti sul sito di Ecosia. Pubblicherò qui le sue risposte non appena le ricevo.

2010/01/22

Christian Kroll, fondatore di Ecosia, mi ha risposto via mail. Ecco le mie domande (in sintesi e in grassetto) e le sue risposte (in corsivo), che ho tradotto dall’inglese nel quale ci siamo scambiati i messaggi.

La vostra home page dice che ogni ricerca web gratuita salva circa 2 metri quadrati di foresta pluviale. Tuttavia le vostre FAQ dicono che guadagnate sui click sui link sponsorizzati, visualizzati accanto ai risultati di ricerca generici, e che ciascun click su quei link sponsorizzati genera qualche centesimo di ricavi. La prima dichiarazione dà chiaramente l’impressione che ciascuna ricerca gratuita salvi una porzione di foresta pluviale; la seconda invece dice che solo i click sui link sponsorizzati vi danno soldi per salvare la foresta pluviale. Gli utenti potrebbero credere di contribuire al vostro progetto semplicemente effettuando ricerche tramite la vostra home page. Invece, se ho capito bene, contribuiscono soltanto se effettuano una ricerca e cliccano su un link sponsorizzato. Correggimi se sbaglio, ma non credi che questa differenza importante vada chiarita in home page?

È esatto che guadagniamo soltanto dai click sui link sponsorizzati. Ma non possiamo pubblicizzare questo fatto, perché porterebbe a cliccate artificiose sulle pubblicità da parte dei nostri utenti, che danneggerebbero le società che fanno inserzioni su Ecosia. Vogliamo che i nostri utenti usino Ecosia come userebbero qualunque altro motore di ricerca e che clicchino sulle inserzioni solo se sono veramente interessati ad esse. Comunque gli utenti salvano circa 2 metri quadrati di foresta pluviale per ogni ricerca che effettuano. Grazie ai click sui link sponsorizzati, guadagniamo circa 0,0013 EUR per ricerca, sufficienti a salvare 2 metri quadrati di foresta pluviale. Questo è un valore facile da capire ed è per questo che abbiamo deciso di pubblicizzare questi 2 metri quadrati.

Quindi la formulazione corretta è che ogni ricerca gratuita salva mediamente 2 metri quadrati se c’è una certa percentuale di utenti che clicca sui link sponsorizzati, altrimenti niente da fare. Il dubbio è comunque risolto, anche se una dicitura più precisa lascerebbe meno spazio alle ambiguità.

Le vostre FAQ definiscono Ecosia un “motore di ricerca”. Ma Ecosia non è un motore di ricerca: non svolge delle ricerche proprie. È semplicemente una pagina iniziale che porta ai motori di ricerca di Bing e Yahoo. Non credi che questo andrebbe chiarito?

Lascio a te valutare se vuoi definire Ecosia un motore di ricerca o meno. Ma se decidi di non definirci motore di ricerca, allora dovrai ridefinire molti altri servizi di ricerca, come Lycos, Altavista, Dogpile, ecc. Per me Ecosia è chiaramente un motore di ricerca. Adesso stiamo lavorando all’assemblaggio di varie API (per esempio Bing) per includerle nella nostra pagina di risultati di ricerca. A quel punto vedrai una differenza notevole fra Yahoo ed Ecosia.

In effetti oggi anche Lycos, Altavista e Dogpile sono basati su altri motori di ricerca: non hanno indici propri e non hanno grandi server farm proprie. Ma resta il fatto che Ecosia non ha propri server, e questo è importante per la domanda successiva.

Le vostre FAQ dicono inoltre che Ecosia è il motore di ricerca più verde anche perché i vostri server usano elettricità verde. Ma le ricerche vengono svolte sui server di Bing e Yahoo, non sui vostri. I vostri server non fanno altro che trasferire il lavoro alle grandissime server farm di Bing e Yahoo, che non usano elettricità verde. La quantità di energia elettrica usata dai vostri server è presumibilmente trascurabile rispetto alle grandi quantità utilizzate da Bing e Yahoo. Pertanto, non crede che la vostra dichiarazione sia ingannevole? Quanti server avete in concreto presso Ecosia?

Hai certamente ragione, nel senso che anche Bing e Yahoo emettono CO2. Stiamo attualmente rivedendo i contenuti del nostro sito per rendere più chiaro questo fatto. Resta in ascolto. Comunque siamo chiaramente il motore di ricerca più verde, soprattutto per via della protezione della foresta pluviale e non per via dei server ecologici. Ho allegato alla mail un documento separato sui motori di ricerca e sulle emissioni di CO2 che contiene più informazioni in merito. Tieni presente che è stato scritto a dicembre e principalmente per uso interno.

Chiaro. Aspettiamo la riformulazione dei contenuti del sito.

Voi invitate gli utenti ad inviare il seguente messaggio: “Di recente ho iniziato a utilizzare un motore di ricerca che salva 2 m² di foresta pluviale ogni ricerca effettuata.” Se ho ben capito, questo non è vero. La foresta pluviale viene salvata solo se la ricerca viene seguita da un click su un link sponsorizzato. Non sarebbe il caso di chiarirlo?

L’affermazione è vera. Salviamo davvero 2 metri quadrati di foresta pluviale per ricerca. Controlla la nostra pagina di statistiche www.Ecosia.org/statistics.php per avere un valore in tempo reale della quantità di foresta pluviale salvata in media per ogni ricerca.

Il vostro messaggio dice anche che “I risultati di ricerca sono buoni come quelli di Google o Yahoo ed è gratuito.” Questo dà l’impressione che Ecosia sia un motore di ricerca che effettua le proprie ricerche. Questo non è vero. Inoltre i risultati non sono “buoni come” quelli di Yahoo: sono proprio i risultati di Yahoo. Non ritieni che quest’affermazione sia ingannevole e vada chiarita?

[Kroll non ha risposto a questa domanda, per cui gliel’ho sottoposta di nuovo]

Kroll ha inoltre risposto spontaneamente a questo paragrafo del mio articolo: Nelle Pagine Gialle tedesche non c’è nessuna voce “Ecosia” (ma va detto che non è obbligatorio registrarsi). Nelle Pagine Bianche tedesche non c’è un Christian Kroll a quell’indirizzo di Wittenberg, ma c’è un Jürgen Kroll: parente?

La mia società (Christian Kroll Internet Services GbR) è registrata presso il mio indirizzo di nascita, perché non ne ho un altro permanente. Amo viaggiare e raramente passo più di un anno nella stessa città. Così ho deciso di usare questo indirizzo per la mia attività. Sono inoltre legalmente registrato presso questo indirizzo, ma non volevo che fosse pubblicato nella guida telefonica tedesca. Ecco perché ci trovi soltanto mio padre.

2018/02/20

Visto che i commenti indicano un ritorno d’interesse intorno ad Ecosia, ho ripreso in mano questa indagine di otto anni fa per fare il punto aggiornato della situazione.

Da quei primi passi del 2010, Ecosia.org è cambiata moltissimo, soprattutto in termini di trasparenza. Il sito ora spiega più chiaramente i propri metodi (come mostrato nell’immagine qui sotto) e pubblica i propri resoconti finanziari.

A giugno 2011, diciotto mesi dopo la mia indagine iniziale, Ecosia aveva raccolto 250.000 euro, di cui l’80% è andato a un progetto di tutela della foresta pluviale brasiliana, secondo il Guardian.

Nel 2013 Ecosia è stata citata da Scientific American, che ha segnalato che l’organizzazione ha finanziato la posa di oltre 116.000 piantine.

Nel 2015 Ecosia è stata nominata fra le migliori startup europee per il miglioramento dell’ambiente per gli European Tech Startup Awards (fonte: Techcrunch).

Secondo le dichiarazioni di Ecosia, al 29 giugno 2017 l’organizzazione ha finanziato la posa di 10 milioni di alberi, che sono diventati 15 milioni il 16 ottobre 2017.

In altre parole, la trasparenza, la longevità e i risultati conseguiti permettono di essere ragionevolmente tranquilli sull’efficacia e l’autenticità dell’iniziativa Ecosia.

2018/11/18

Su CleanTechnica.com c’è un’intervista a Tim Schumacher, uno degli investitori di Ecosia, che fa il punto sugli sviluppi dell’iniziativa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il motore di ricerca “da hacker”

Il motore di ricerca “da hacker”

Ultimo aggiornamento: 2019/10/25 10:25. 

Volete stupire i vostri amici facendo comparire sul vostro schermo dei risultati di ricerca in “stile hacker”, ossia come caratteri verdi su sfondo nero, e al tempo stesso tutelare la vostra privacy?

Si può fare con questo trucchetto offerto dal motore di ricerca DuckDuckGo, che usa i risultati di Wikipedia e di vari motori di ricerca, fra cui Bing, Yahoo e Yandex, ma ne blocca la raccolta di dati personali degli utenti. Basta andare a https://duckduckgo.com/tty e digitare l’argomento della ricerca.

DuckDuckGo è comunque utilizzabile anche in maniera normale.

Chicca: fra i comandi della “versione hacker” c’è anche qrcode, che genera automaticamente un codice QR corrispondente a qualunque cosa scriviate dopo la parola qrcode.

Grazie a decio per la segnalazione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast del Disinformatico 2013-08-06

Il podcast della puntata di venerdì scorso del Disinformatico che ho preparato e condotto per la Rete Tre della RSI è scaricabile qui; i link agli articoli di supporto e approfondimento sono i seguenti:

Verificare la disponibilità di un nome su tanti siti: NameChk

Twitter rende più facile segnalare gli abusi

Cercare un vecchio messaggio di Twitter? Ora si può con Topsy

Facebook, falla permetteva di cancellare le foto di chiunque

Cercate in Rete Grand Theft Auto V? Troverete virus e truffe cellulari

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

Ultimo aggiornamento: 2019/08/06 23:40.

Datadrifter di Spyglass Security è un nuovo motore di ricerca che trova i bucket di Google Cloud lasciati aperti. Se fate sign-in con un account Google, scegliete Explore e poi Images, troverete davvero di tutto. Attenzione: molte immagini e molti video sono assolutamente non adatti ad ambienti con minori o luoghi di lavoro. Questa è la schermata più safe for work che sono riuscito a catturare (e anche così ho dovuto mascherarne una parte).

Notate in basso a destra l’immagine di quello che sembra essere un impianto di lettura automatica di indirizzi postali, con buona pace di GDPR, leggi sulla privacy, sicurezza informatica e compagnia bella.

Datadrifter offre anche una funzione di ricerca, in versione semplice o avanzata. La versione a pagamento (da 20 dollari/mese in su) permette di approfondire la ricerca, ma non ho ancora provato: devo ancora sciacquarmi gli occhi per le cose che ho visto.

Nella ricerca semplice è sufficiente immettere il nome di un bucket trovato per esempio nella sezione Explore per ottenere un elenco di file come questo, che riguarda il lettore di indirizzi postali:

Sono tentato di abbonarmi per vedere cosa trova. Qualcuno di voi lo conosceva già e lo ha già provato?

Secondariamente: ma quanto bisogna essere incompetenti per lasciare un bucket Google Cloud leggibile dal mondo intero?

2019/08/06 23:40

La versione a pagamento permette di vedere molto di più: scansando a fatica l’ondata di immagini pornografiche, emergono decine di immagini di documenti personali, alcuni dei quali anche italiani, e di screenshot di transazioni di acquisto, con nomi, cognomi, date e importi. Ho trovato il nome di almeno una delle aziende che sta mettendo online questi documenti.

Un clic destro sull’immagine seguito da Copy Image Location permette di risalire al bucket e verificare che l’immagine è realmente accessibile a chiunque, come in questo caso volutamente innocuo (la foto di un cane). Gli URL sembrano essere tutti del tipo https://www.googleapis.com/download/storage/v1/b/[nome del bucket]/o/[path][nomefile][parametri].

Fra i nomi dei bucket ho notato welo, cluster-media, simplestorage, phil-videos, piratebay-pics (decisamente NSFW), appstore-assets, nextpro, mastodon, imwork, alarabiya-assets, vidooly, symphonyimages, fcc-photos, chinatimes, store-production e altri ancora.

Nello screenshot qui sotto ho coperto io i dati sensibili, che negli originali sono perfettamente leggibili:

Ora sarebbe interessante trovare il modo di sapere a quali aziende appartengono questi bucket colabrodo e contattarle per sapere se la visibilità è consapevole e intenzionale o se è un errore gravissimo da correggere.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
InVID, strumento di verifica per immagini e video

InVID, strumento di verifica per immagini e video

Capita spesso, nelle indagini giornalistiche, di aver bisogno di verificare la provenienza o la datazione di un video per capire se è vero o falso. Ora c’è uno strumento che semplifica e potenzia molto questo lavoro: InVID.

Si tratta di una serie di soluzioni software sviluppate nell’ambito di un progetto di ricerca finanziato dall’Unione Europea e disponibili presso www.invid-project.eu.

La principale di queste soluzioni è un’estensione per Firefox e Chrome che permette di ottenere rapidamente informazioni contestuali sui video di Facebook, Twitter e YouTube, di effettuare ricerche per immagini in Google, Yandex, Bing, Tineye, Baidu o Karmadecay (per Reddit), di estrarre ed elaborare fotogrammi dai video di Facebook, Instagram, Youtube, Twitter e Dailymotion, di svolgere ricerche più efficienti in Twitter, di leggere i metadati di video e immagini, controllare i copyright e applicare filtri di analisi forense alle immagini per rivelare manipolazioni.

Questo è un tutorial video di InVID:

Sto iniziando a esplorare le varie funzioni di InVID e sembra davvero potente. Provatelo anche voi: mi sa che sarà molto utile e che ne sentiremo parlare spesso da parte di chi fa giornalismo usando strumenti informatici.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trovare immagini liberamente usabili: CC Search

Trovare immagini liberamente usabili: CC Search

Vi servono immagini esenti da copyright? Ora c’è un motore di ricerca apposito: lo trovate presso
ccsearch.creativecommons.org e indicizza circa 300 milioni di immagini esenti da vincoli di diritto d’autore. Sono immagini utilizzabili senza corrispondere diritti o chiedere permessi perché sono state rilasciate sotto licenza Creative Commons. Ed è solo l’inizio, perché CCSearch vuole arrivare a quasi un miliardo e mezzo di immagini liberamente utilizzabili, come riferisce Lifehacker.com.

Nel catalogo ci sono anche varie collezioni d’arte (Metropolitan Museum
of Art, Cleveland Museum of Art) oltre a Flickr e DeviantArt.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
A proposito di quell’archivio clienti italiano lasciato online: l’ho segnalato alla Postale

A proposito di quell’archivio clienti italiano lasciato online: l’ho segnalato alla Postale

Ultimo aggiornamento: 2019/03/10 9:20.

A fine febbraio ho segnalato il caso di un’azienda italiana, che gestisce prenotazioni online per ristoranti, che aveva lasciato accessibile online quello che sembrava essere un archivio dei dati dei propri clienti (circa 140.000).

L’azienda non ha risposto alle mie segnalazioni private, ma di fatto l’archivio non è più reperibile all’indirizzo IP presso il quale si trovava a disposizione di chiunque. Non mi è arrivata nessuna risposta neanche dal campione di indirizzi di mail dei clienti presenti nell‘archivio. La questione resterà quindi un mistero, e siccome potrebbe trattarsi di un archivio fittizio di prova (anche se mi pare improbabile), non credo che sia corretto fare pubblicamente il nome dell’azienda.

Su Internet ci sono tanti altri archivi di questo genere altrettanto accessibili e vulnerabili; trovarli è facile, usando gli appositi servizi di ricerca (come nello screenshot mostrato qui sopra), che per uno specifico tipo di database mi restituiscono oltre 700 risultati sparsi per il mondo.

Se vi interessa sapere quali sono questi servizi di ricerca, utilissimi anche per verificare la propria sicurezza informatica aziendale (un esempio è qui), ne segnalo alcuni:

  • Shodan.io
  • Binaryedge.io
  • Zoomeye.org
  • Censys.io
  • FoFa.so

Prima che me lo chiediate: consultare questi servizi, dopo aver creato un account, è legale e non costituisce violazione di domicilio informatico, visto che visitate le pagine di questi motori di ricerca e non quelle dei siti contenenti dati vulnerabili. Ma abusare delle informazioni contenute in questi servizi per violare un sistema informatico è palesemente illegale.

Se vi state chiedendo se sia pericoloso mettere a disposizione questi motori di ricerca, la risposta forse sorprendente è no: gli intrusi informatici esperti sanno benissimo come agire anche senza questi servizi. L’esistenza di questi motori consente semmai di facilitare il lavoro agli addetti alla sicurezza delle aziende, che grazie a questi strumenti possono verificare più rapidamente se hanno dati visibili esternamente.

2019/03/08 16:25

Come non detto: poco dopo la pubblicazione iniziale di questo articolo mi è arrivata la segnalazione che un altro database della stessa azienda, con i dati di circa 1000 account, è online, senza password (basta conoscerne l’indirizzo IP) e pubblicamente accessibile in lettura e (presumo) scrittura o cancellazione, presso un indirizzo IP diverso da quello precedente.

Visto che il problema si ripete, ho allertato via mail la Polizia Postale fornendo tutti i dettagli. Sarà così possibile capire se si tratta di un database di clienti reali, messo online senza alcun riguardo per GDPR e protezione dei clienti, o se si tratta di un database di prova.

2019/03/09 13:20

Ho contattato alcuni degli indirizzi di mail presenti nel database e tre di essi hanno risposto: si tratta di indirizzi di ex dipendenti. Uno di loro mi ha telefonato ieri sera ed è riuscito ad allertare gli ex colleghi. A quanto pare il database era concepito per contenere dati fittizi di prova che però erano frammisti anche a dati autentici. Il database è stato rimosso: al suo indirizzo IP non viene più esposta l’interfaccia di gestione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.