L’articolo è stato aggiornato dopo la pubblicazione iniziale.
Ieri sera sono stato ospite dell’Associazione Genitori Scuola Media a Minusio per una chiacchierata pubblica sui benefici e rischi di Internet dal punto di vista dei genitori, spesso non consapevoli di quello che fanno online i loro figli e ignari dei rischi derivanti anche da comportamenti apparentemente innocui, e sulle tecniche di difesa necessarie per godersi la parte positiva della Rete.
I file della presentazione che ho commentato sono scaricabili qui (formato Keynote ’09) e qui (formato PDF) presso Google Docs. Una versione in formato Keynote ’08 è scaricabile qui (ZIP; salvata con Keynote ’09, quindi non è testata con ’08). Il PDF è sfogliabile qui sotto e scaricabile da qui per chi ha un account su Slideshare.
Questa sera sarò a Locarno, all’Aula Magna del Liceo Cantonale, via Chiesa, alle
20:15 per un incontro, intitolato “Facebook, film streaming e dintorni – I ragazzi chiusi in camera al computer
sono al sicuro… ma sarà vero?”, su come ottenere un uso sicuro di Internet, specialmente per i minori.
Insieme a me ci sarà Lara Zgraggen, pedagogista e collaboratrice scientifica
SUPSI. L’ingresso è libero ma è riservato ai genitori e agli adulti per via
delle tematiche trattate.
Coglierò l’occasione per una dimostrazione dal vivo della vulnerabilità
delle telecamere della Trendnet che permette a chiunque abbia un briciolo di
competenza di scavalcarne la password e spiare nelle case e negli uffici di chi
ha queste telecamere. Un giro veloce ieri notte mi ha permesso di vedere davvero
di tutto. I dettagli della questione saranno uno degli argomenti della puntata
di venerdì prossimo del Disinformatico radiofonico.
Sono l’ultimo a voler demonizzare Internet, ma è indispensabile conoscerne gli
aspetti rischiosi e sapere come evitarli, in modo da potersi godere serenamente
le tante risorse utili e positive della Rete.
Aggiornamento (18:40): Ho corretto il titolo, che avevo indicato
erroneamente.
Il 6 maggio scorso sono stato invitato a tenere una conferenza sul tema dell’abuso informatico presso l’Università di Camerino, nell’ambito di “Uso, abuso e riuso degli strumenti informatici”, un ciclo di lezioni su sicurezza informatica e diritto delle cosiddette “nuove tecnologie” promosso dal corso di laurea in informatica della Scuola di Scienze e Tecnologie (il programma con tutti i relatori è qui). Il video del mio intervento è ora disponibile e lo potete vedere qui sotto. Io inizio a 13:45. C’è anche una mia breve intervista nel TG regionale di Raitre (a circa 10 minuti dall’inizio).
Ho colto l’occasione per fare il punto sugli abusi informatici commessi da società commerciali, crimine organizzato e governi. Credo che sia abbondantemente ora di prendere coscienza di queste intrusioni sempre più pervasive e di cominciare a prendere nuove abitudini e adottare contromisure, per non fregarci con le nostre stesse mani. Buona visione.
Oggi (8 giugno) in Italia il partito Azione ha pubblicato questo tweet che
propone “di vietare l’utilizzo agli under13 e la possibilità di accesso solo con il
consenso dei genitori per gli under15, in linea con la normativa europea.
L’età dovrà essere certificaita
[sic] attraverso un meccanismo in grado di confermare in modo sicuro i requisiti
e che potrà essere utilizzato anche per tutti gli altri siti a maggior
rischio.”
Ragazzi e ragazze si iscrivono ai social a un’età sempre piu giovane e vi
trascorrono in media fino a 5 ore al giorno. I danni che ne derivano sono
depressione, disturbi dell’alimentazione e del sonno, cyberbullismo.
La proposta è stata descritta da Azione in questo documento, la cui unica parte vagamente tecnica è questa, che già contiene una
contraddizione: si dice che quando l’utente italiano chiederà di registrarsi a
un social network verrà rimandato a un servizio di identità digitale, e poi si
dice che “la proposta non avrà un impatto sul funzionamento dei social media”.
Ma se si introduce questo rimando, allora l’impatto c’è eccome.
Gli anni passano, ma i politici proprio non riescono a mettersi in testa il
concetto che la certificazione dell’età per usare i social network non si può
fare e che non basta invocare un magico “meccanismo” per risolvere i
problemi tecnici.
Ci siamo già passati di recente, per cui mi sono permesso di rispondere
al tweet di Azione come segue.
Buongiorno, avete provato a consultarvi con gli addetti ai lavori prima di
proporre questo divieto? Capisco le buone intenzioni, ma per l’ennesima
volta si fanno proposte senza pensare a come si implementerebbero.
Queste
sono le obiezioni degli esperti:
1. Introdurre un divieto significa trovare il modo di farlo rispettare,
altrimenti è inutile. Farlo rispettare significa identificare gli utenti.
Chi farà questo lavoro? Chi lo pagherà? Chi vigilerà contro abusi?
2. A chi affidiamo i dati dei minori? A Facebook, Twitter, Instagram,
Tinder, Ask, Vkontakte, WhatsApp, Telegram? A quante aziende dovremmo dare i
documenti dei nostri figli?
3. Pensate che un dodicenne non sappia come creare un account non italiano
usando una VPN per simulare di stare all’estero? [I video su YouTube sono pieni di sponsorizzazioni da parte di una nota marca produttrice di VPN; il browser Opera ha una VPN gratuita incorporata]
4. L’anonimato online è un diritto sancito dalla Dichiarazione dei diritti
in Internet, approvata all’unanimità a Montecitorio nel 2015. Lo ignoriamo?
5. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che
non depositano un documento? E se un utente esistente si rifiuta di dare un
documento, che si fa? E se il social network decide che non se la sente di
accollarsi questo fardello tecnico immenso?
6. Se il documento andasse dato ai social network, significherebbe dare una
copia di un documento d’identità ad aziende il cui mestiere per definizione
è vendere i nostri dati.
7. Equivale a una schedatura di massa. Creerebbe un enorme database
centralizzato di dati, attività e opinioni personali di milioni di
cittadini, messo in mano a un’azienda o a un governo. E necessariamente
consultabile da governi esteri.
8. Avete provato a parlarne con il Garante per la Privacy? La volta scorsa
che qualcuno ha fatto una proposta analoga, la sua risposta fu questa
[“Pensare di imbrigliare infrastrutture mondiali con una nostra leggina
nazionale è velleitario e consegnare l’intera anagrafica a privati è
pericoloso”]
9. C’è già adesso un limite di età indicato nelle condizioni d’uso dei vari
social network. Chiaramente i social non riescono a farlo rispettare. In che
modo pensate di riuscire a fare quello che società miliardarie non sono in
grado di fare?
10. Suggerisco di non proporre SPID o altre certificazioni digitali di
identità. Non solo milioni di utenti non le hanno e non le sanno usare, ma
resterebbe il problema degli account esistenti.
Basta, per
favore, con le proposte tecnicamente insensate.
11. Fare questo genere di proposte senza avere un piano tecnico già discusso
con gli esperti rischia di essere un autogol. Capisco che “per salvare i
bambini” sia uno slogan sempreverde, ma non è così che si salveranno i
bambini. Le carriere politiche, forse. I bambini, no.
12. Gli esperti italiani non mancano. Sentiteli. Vi diranno che, per
l’ennesima volta, la proposta è irrealizzabile.
Ultimo aggiornamento: 2023/04/13 13:40. L’articolo è stato estesamente
riscritto per tenere conto degli sviluppi della vicenda.
Sta creando comprensibilmente scalpore la notizia che dei dipendenti di Tesla
hanno dichiarato che fra il 2019 e il 2022 alcuni video ripresi dalle
telecamere di bordo di cui sono dotate le auto di questa marca sono stati
fatti circolare per divertimento all’interno dell’azienda, violando le regole
interne di privacy. A seguito di questa notizia, un proprietario statunitense
di una di queste auto ha avviato una class action contro Tesla (RSI.ch).
Le descrizioni dei video fatti circolare dai dipendenti includono per esempio
un uomo che si è avvicinato a una Tesla mentre era completamente nudo,
incidenti, animali, cartelli stradali e immagini riprese all’interno dei
garage degli utenti, che mostrano oggetti intimi. Fra queste immagini c’è
anche la Lotus Esprit “sommergibile”
usata nel film della serie di James Bond La spia che mi amava del 1977.
Questa famosissima Lotus è oggi di proprietà di Elon Musk.
Nella concitazione di riferire la notizia, la cui fonte originale è un lungo e
dettagliato articolo di Reuters, molte delle testate che l’hanno riportata hanno tralasciato informazioni
molto importanti e pubblicato notizie tecnicamente scorrette.
Prima di tutto, le immagini descritte da Reuters provengono dalle telecamere esterne dei veicoli, non dalla telecamera interna, che è montata sui modelli più recenti per monitorare l’attenzione del
conducente durante la guida assistita, come fanno anche altre marche [Ford, per esempio]. Ma molte
testate giornalistiche hanno scritto erroneamente che si tratta di immagini “prese all’interno dei veicoli” [ANSA, 2023/11/04, copia permanente, ho chiesto
spiegazioni pubblicamente] o che “dentro le auto i conducenti venivano filmati” (La Regione, copia permanente; ho segnalato
l’errore).
Mi sono procurato e letto anche i documenti pubblici
della class action: non contengono alcun riferimento a immagini prese all’interno dei veicoli.
Il problema, insomma, non riguarda chi sta dentro il veicolo e che
probabilmente come proprietario sa di guidare un’auto dotata di telecamere di
sorveglianza, ma riguarda le persone che passano vicino a un’auto di questo
tipo e che possono essere facilmente inconsapevoli delle sue dotazioni
tecnologiche.
Questi veicoli, infatti, hanno numerose telecamere esterne, poco visibili, che
guardano in tutte le direzioni e sono attive durante la marcia, per consentire
le funzioni di guida assistita e per fungere da dashcam, e anche durante la sosta, se il conducente ha attivato la cosiddetta modalità Sentinella
per proteggere l’auto contro furti e vandalismi [funziona].
Una compilation di incidenti e tentativi di furto documentati dalle telecamere perimetrali di veicoli Tesla.
Se vi siete mai avvicinati a una Tesla parcheggiata e avete notato che i suoi
fanali hanno iniziato a lampeggiare, è perché il veicolo aveva attiva la
modalità Sentinella e quindi vi ha avvisato discretamente di avervi visto e
potenzialmente registrato.
Le telecamere esterne (1, 3, 4, 5) di una Tesla Model Y, descritte nel manuale online: 2 indica i sensori di prossimità ultrasonici; 6 indica il radar.
Una telecamera laterale esterna di una Tesla Model 3. Fonte: Wikipedia.
Un altro aspetto importante che è stato spesso tralasciato è che le immagini delle telecamere vengono trasmesse a Tesla e alle aziende che
collaborano con Tesla solo se l’utente dà il proprio consenso. Questo viene detto esplicitamente nell’articolo originale di Reuters [“if a customer agrees to share data”] ed è indicato nell’informativa sul trattamento dati
di Tesla, che specifica che “È possibile controllare i dati che si condividono toccando Comandi >
Software > Condivisione dati”. Lo stesso vale per la telecamera interna, secondo quanto indicato dal manuale: “Per impostazione predefinita, le immagini e i video registrati dalla
telecamera restano all’interno del veicolo e non vengono trasmessi a
nessuno, nemmeno a Tesla, a meno che non sia stata abilitata la condivisione dei dati”.
Questi video possono essere visti dal proprietario e, se il proprietario ha dato il consenso, anche dai dipendenti di Tesla e
delle sue affiliate. Se avviene un incidente, le immagini delle telecamere
vengono inviate a Tesla.
[Inoltre l’informativa sulla privacy parla specificamente dei dati delle
telecamere, precisando ancora una volta che è necessario il consenso opt-in dell’utente:
“In order for camera recordings for fleet learning to be shared with Tesla, your consent for Data Sharing is required and can be controlled through
the vehicle’s touchscreen at any time. Even if you choose to opt-in, unless we receive the data as a result of a
safety event (a vehicle collision or airbag deployment) — camera recordings
remain anonymous and are not linked to you or your vehicle”. I tipi di dati raccolti da Tesla sono schematizzati bene in questo articolo di Electrek]
In sintesi: indubbiamente l’articolo di Reuters denuncia una violazione
inaccettabile delle regole di confidenzialità da parte dei dipendenti di Tesla
e rivela una cultura aziendale di disinvolta condivisione interna di queste immagini.
Ma va anche considerato che se uno va in giro nudo e lo fa davanti a un’auto
dotata di telecamere, sua o altri, che lo avvisa della presenza di quelle
telecamere lampeggiando, forse il problema non è soltanto di Tesla.
Più in generale, questa vicenda mette bene in luce un problema di moltissimi
dispositivi connessi a Internet, dagli assistenti vocali alle dashcam alle
telecamere di sorveglianza che salvano le registrazioni nel cloud alle
automobili di qualunque marca che trasmettono dati e immagini ai loro
produttori. Se avete Alexa o Google Home in casa, pezzi delle vostre
conversazioni vengono inviati ad Amazon o Google, rispettivamente, e quindi i dipendenti
possono ascoltare quelle registrazioni. E se possono farlo, conoscendo la
natura umana è probabile che lo faranno e le condivideranno, e non solo per motivi di lavoro.
Per questo da anni si raccomanda agli utenti di questi dispositivi di
chiedersi quali dati vengano raccolti e come sia possibile evitare questa
raccolta, scegliendo prodotti che minimizzano la raccolta di dati o che
permettono all’utente di rifiutarla o limitarla; per questo esistono i Garanti
per la privacy, che spesso vengono visti dall’opinione pubblica come un
pedante ostacolo (come si è visto con la vicenda del cosiddetto “blocco” di ChatGPT in
Italia).
Leggete, una volta tanto, i manuali dei dispositivi connessi che acquistate e
scoprite come si impostano le funzioni di blocco della condivisione dei dati
che non volete far circolare. Farete un favore a voi stessi e agli altri.
[Piccola precisazione personale: ho una Tesla Model S, ma essendo un modello
del 2016 non è dotata di telecamere perimetrali ma solo di telecamere frontali
e posteriori, che non registrano nulla e non inviano nulla a Tesla. Però ho
installato una dashcam che registra costantemente quello che avviene
esternamente; questa telecamera tiene i dati per sé e non li condivide con
nessuno]
La deformazione professionale è una brutta cosa. Se sei un informatico
patologico, vai a fare la spesa al supermercato e invece di pensare alle cose
da comperare ti cade l’occhio sullo scanner manuale che usi per scansionare i
prodotti e metterli direttamente nei sacchetti già in ordine per il pagamento
rapido in cassa; pensi a come quello scanner comunica via Wi-Fi con il sistema
informatico del supermercato, a come gestisce il database dei prodotti tenendo
conto degli sconti e delle offerte “tre per due”; e soprattutto noti una cosa
strana: lo scanner ha una minuscola fotocamera appena al di sopra dello schermo.
È quello che mi è successo andando a fare la spesa con lo scanner manuale in
un supermercato della catena Coop, qui in Svizzera. E ovviamente mi sono
chiesto subito perché uno scanner del genere avesse una fotocamera rivolta
quasi sempre verso il soffitto o il volto dell’utente.
Se siete in un supermercato mentre ascoltate questo podcast, o la prossima
volta che ci andate, provate a guardare se gli scanner manuali, quelli che
sembrano un po’ pistole laser da film di fantascienza, hanno una fotocamera: è
una finestrella circolare, quasi invisibile sul nero della cornice intorno
allo schermo, e al centro c’è una piccolissima lente.
Non vi preoccupate: se state pensando che la fotocamera vi osservi mentre fate
la spesa, magari per giudicare il vostro gradimento dei prodotti, i vostri
comportamenti di acquisto o peggio ancora per controllare che siete onesti e
davvero scansionate tutti i prodotti che mettete nei sacchetti, siete fuori
strada. La realtà è diversa e decisamente inaspettata.
Ho chiesto informazioni direttamente all’ufficio stampa di Coop, visto che la
dettagliata pagina Web informativa sulla protezione dei dati
di questo gruppo non menziona questi scanner manuali, e la sua risposta è
stata molto chiara e ampia: “La fotocamera di cui sono dotati gli scanner portatili di Coop non viene
utilizzata e non ne è previsto l’uso per il futuro.”
Quindi questi scanner hanno davvero una fotocamera; la mia impressione era
corretta. E con tutta probabilità questa fotocamera fa parte delle dotazioni
standard di questo modello di scanner e quindi è presente anche negli
esemplari forniti alle aziende che non la usano. Ma quelle che invece la
usano, cosa ne fanno?
Per trovare la risposta bisogna identificare la specifica marca e il modello
dello scanner. Nel mio caso la marca si chiama Zebra Technologies Corporation, con sede a Holtsville, negli Stati
Uniti, come indicato sulla targhetta identificativa del dispositivo, e il
modello è indicato dal cosiddetto part number, abbreviato in P/N sulla stessa targhetta, ed è PS20.
Queste specifiche indicano che si tratta di una telecamera da 5 megapixel,
tutt’altro che modesta come prestazioni, e rivelano finalmente a cosa serve
nei paesi nei quali viene utilizzata: fa riconoscimento di immagini, allo
scopo di offrire al supermercato un servizio di identificazione delle persone
oppure di cosiddetto locationing VLC. In altre parole, se attivata può
identificare il cliente e anche localizzarlo all’interno del punto di vendita.
“Con la fotocamera anteriore, il dispositivo supporta le applicazioni di posizionamento/localizzazione indoor VLC (Visible Light Communications).
Inoltre, la fotocamera viene utilizzata per il riconoscimento di immagini e
volti” (manuale italiano, pagina 5)
“Enable image recognition through a wide variety of image-based 3rd party
applications. Cost-effectively implement the latest locationing technology,
VLC, which leverages your existing LED lighting infrastructure to track
customers and workers.” (specifiche tecniche in inglese)
L’identificazione delle persone è abbastanza intuitiva da capire: se il
software di riconoscimento delle immagini si accorge che è inquadrato un
volto, può acquisirne una foto o un video. Ma il locationing VLC richiede un po’ di spiegazione. È una tecnica ingegnosa sviluppata
dalla Philips e usata in alcuni supermercati francesi e tedeschi: ciascuna delle lampade a LED che illuminano il punto di vendita sfarfalla
in modo unico, a velocità troppo elevata per essere percepita dall’occhio
umano, trasmettendo così un codice che viene ricevuto dalla fotocamera dello scanner. In base a
quali codici riceve, lo scanner sa esattamente dove si trova in ogni momento,
con una precisione di circa 30 centimetri, senza dover installare trasmettitori radio appositi.
Ci sono anche delle app per smartphone, come per esempio LightKey, Kiwink o LiPHY, che possono ricevere e trasmettere segnali attraverso questi lampeggiamenti
luminosi impercettibili.
L’ufficio stampa di Coop mi ha precisato anche che il suo scanner non utilizza
queste funzioni, e io per ulteriore verifica ho provato a fare la spesa
coprendo la fotocamera. Non ci sono stati errori, allarmi o malfunzionamenti.
Oggi pomeriggio sarò alla Scuola Media di Gordola (Canton Ticino) per due lezioni sulla gestione sicura e privata di social network e tecnologie digitali in genere.
Alle 20 sarò sempre alla Scuola Media per un incontro con genitori e docenti, in cui parleremo insieme degli stessi temi anche alla luce delle esperienze degli studenti.
L’ingresso per l’incontro serale è libero. Visti i temi trattati, consiglio di non portare minori, in modo da poter discutere e mostrare immagini liberamente.
Scavalcare la crittografia end-to-end di WhatsApp e leggere tutti i
messaggi di un altro utente è facile. Così facile che può capitare addirittura
per caso: basta avere il numero di telefono di quell’utente (in altre parole,
è sufficiente essere un end di quell’end-to-end).
The Register
e Gizmodo
hanno pubblicato il racconto della disavventura capitata a un utente europeo
che ha involontariamente avuto accesso a tutti i messaggi privati e ai gruppi
WhatsApp di un’altra persona.
L’utente diventato intruso per caso si chiama Ugo e per molto tempo ha avuto
un account WhatsApp legato al suo numero di telefono cellulare svizzero. A
ottobre scorso si è trasferito in Francia per lavoro e si è procurato un
numero di telefono cellulare francese, con relativa SIM nuova. Durante tutto
questo periodo ha continuato a usare WhatsApp senza problemi, ricevendo e
mandando messaggi come al solito.
Alla fine del mese di ottobre 2022 ha cambiato il proprio numero nell’app di
WhatsApp, dando quello francese. A quel punto il suo telefono è stato inondato
da tutti i gruppi e i messaggi personali e di lavoro di qualcun altro, quasi
tutti in italiano, e la sua foto di profilo è diventata quella di quella
persona (una donna). Ugo ha cercato di spiegare ai suoi interlocutori che lui
non era la persona con la quale credevano di parlare, ma senza molto successo.
In pratica, senza volerlo Ugo aveva preso il pieno controllo dell’account
WhatsApp di un’altra persona a lui sconosciuta.
Il padre di Ugo, che per lavoro ha esperienza nel settore e che ho contattato
direttamente via mail, mi ha spiegato che ha usato l’apposita pagina di segnalazione di Meta
per avvisare del possibile bug di sicurezza: la risposta di Meta è
stata che non è un difetto di WhatsApp, ma è un problema degli operatori
telefonici, che riutilizzano i numeri di telefono.
Tutti gli account WhatsApp sono collegati a un numero di cellulare. Dal
momento che riutilizzare i numeri di telefono è una prassi piuttosto comune
per gli operatori di telefonia mobile, è possibile che il precedente
proprietario del tuo numero di telefono usasse WhatsApp. Se la persona
che usava il numero prima di te non ha eliminato il suo account WhatsApp, sia
tu che i tuoi contatti potreste vedere il numero su WhatsApp prima
dell’attivazione del tuo nuovo account. Potresti anche vedere che il tuo
numero di telefono è associato alla foto del profilo e alla sezione Info di
qualcun altro. Non devi preoccuparti. Questo significa solo che l’account
precedente non è stato eliminato e nel sistema sono ancora presenti le vecchie
informazioni. Il precedente proprietario del tuo numero non avrà alcun tipo di
accesso all’account WhatsApp che attiverai con il tuo nuovo numero di
telefono. Le tue conversazioni e gli altri dati WhatsApp sono protetti. Monitoriamo
l’inattività degli account per evitare eventuali confusioni provocate dal
riutilizzo dei numeri di telefono. Se un account non viene utilizzato per 45
giorni e quindi viene attivato nuovamente su un dispositivo mobile differente,
presumiamo che il numero sia stato riutilizzato. Quando si verificano queste
situazioni, eliminiamo i dati del vecchio account collegati al numero di
telefono, come ad esempio la foto del profilo e la sezione Info.
In pratica, qualche tempo prima la donna di cui Ugo stava leggendo i messaggi
WhatsApp aveva chiuso il numero di telefonino che usava per WhatsApp. Quel
numero era tornato disponibile e l’operatore telefonico lo aveva riutilizzato,
assegnandolo a Ugo.
Questa possibilità di accedere ai messaggi WhatsApp di un altro utente è una
falla di privacy considerevole, e il bello è che è nota almeno da tre anni. Se qualcuno ha modo di farsi dare dall’operatore telefonico una SIM che ha
il numero della persona presa di mira, può leggerne tutti i messaggi. È una
tecnica chiamata SIM swap: i criminali informatici la usano contattando
gli operatori telefonici e spacciandosi per la vittima, chiedendo una SIM
nuova perché, dicono, quella corrente non funziona più o è stata smarrita. Nei
paesi nei quali gli operatori non verificano attentamente l’identità degli
utenti, la SIM nuova finisce nelle mani del criminale, che a quel punto può
ricevere tutti gli SMS di autenticazione dei vari servizi online della vittima
e prendere il controllo in particolare delle sue piattaforme social.
Nel caso di Ugo non c’è stata alcuna intenzione criminosa, ma la sua vicenda
dimostra che la riservatezza dei messaggi online non è robusta come molti
pensano.
Per contenere questo problema dei numeri riciclati, normalmente gli operatori
hanno un periodo piuttosto lungo di cosiddetta “quarantena”, durante il quale
il numero non viene riassegnato a nessuno, e WhatsApp dichiara che se si
accorge che un account non viene usato per un mese e mezzo e poi ricomincia a
essere usato su un dispositivo nuovo, eliminerà i dati del vecchio account. Ma
a Ugo e alla donna che è diventata sua vittima non intenzionale non è andata
così, perché l’account della donna non era inattivo. La donna aveva
cambiato numero di telefono e aveva continuato a usare WhatsApp sul nuovo
numero, ma senza cambiare il numero nell’app.
Infatti se non si avvisa WhatsApp del cambio di numero, WhatsApp continua a
credere che l’account sia associato ancora al numero vecchio, come dimostra il
padre di Ugo con un video dettagliatissimo, in cui usa due numeri di telefono
svizzeri e fa vedere che scambiando le SIM i due utenti, chiamiamoli Andrea e
Beatrice, continuano a ricevere i messaggi dei rispettivi account WhatsApp
come se niente fosse, nonostante lo scambio di SIM nei loro telefoni.
Ma se Andrea avvisa WhatsApp del cambio di numero, il suo telefono comincia a
ricevere i messaggi WhatsApp di Beatrice, perché il telefono di Andrea
contiene la SIM che prima era nel telefono di Beatrice.
Normalmente WhatsApp protegge il cambio di numero contro gli abusi inviando al
numero vecchio un SMS contenente un codice di sicurezza. Ma in questo
caso il vecchio numero di Beatrice ora ce l’ha Andrea, che quindi riceve il
codice e ha tutto il necessario per prendere il controllo dell’account
WhatsApp di Beatrice.
Va chiarito che questa tecnica non consente accesso ai messaggi passati di WhatsApp: permette di leggere soltanto i messaggi che sono
stati inviati al proprietario precedente del numero dopo che il nuovo
proprietario ha usato quel numero per WhatsApp. Ma già così, ricevere le
comunicazioni e le foto destinate a un’altra persona e poterla impersonare
online, senza che quella persona lo sappia, è parecchio invadente e
preoccupante.
Va anche sottolineato che questa situazione offre un canale di sorveglianza
molto semplice alle forze di polizia: è sufficiente che chiedano all’operatore
telefonico di generare una seconda SIM con lo stesso numero e avranno accesso
ai messaggi WhatsApp inviati alla persona sorvegliata. Nel caso di altri
sistemi di messaggistica, come Telegram, che conservano i messaggi sui propri
server, questa tecnica probabilmente consente anche di recuperare tutti i
messaggi passati.
Noi utenti possiamo ridurre il rischio di violazioni della privacy come questa
con due passi piuttosto semplici. Il primo è attivare l’autenticazione a due
fattori su WhatsApp, sotto Impostazioni – Account – Verifica in due passaggi. Il secondo è
avvisare WhatsApp se cambiamo numero, andando in Impostazioni – Account – Cambia numero. Andrebbe fatto comunque, perché
altrimenti in caso di qualunque problema con il vostro account, WhatsApp non
potrà validarvi tramite il numero di telefono. Se infine decidete di smettere
di usare WhatsApp per qualunque motivo, ricordatevi prima di tutto di
eliminare l’account andando sempre in Impostazioni – Account – Elimina account.
Un altro giorno, un’altra segnalazione di dati personali a spasso, pronti per
essere raccattati dal primo criminale informatico che passa ed essere usati
come punto di partenza per attacchi informatici e truffe di ogni sorta.
Mi è stato segnalato un indirizzo IP italiano, sulla rete Eolo, che propone
una pagina aperta a tutti che ospita un form di immissione dati:
Il form cita Artoni, che è una società
di logistica italiana, ma i dati a spasso non sono colpa sua; la pagina che li
diffonde è probabilmente di un’azienda che usa Artoni per le proprie
spedizioni di merci.
Il form da solo non dice granché, ma non c’è bisogno di provare a immettere
dati a caso sperando di trovare qualche corrispondenza: sarebbe molto
improbabile e tedioso. Come capita spesso in tanti database, anche questo form
ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente il pulsante Cerca, senza immettere nulla, elenca
tutti i dati dell’intero archivio, che sono circa un migliaio. Una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.
Cliccando sui link delle singole ordinazioni si possono vedere i
dettagli: per esempio quelli dell’azienda di Urbisaglia, in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.
Sapere i dati di chi compra caffè forse non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.
L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella di Genova spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto. Il criminale potrebbe conquistarsi facilmente la fiducia della vittima descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora C*******, mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”
Certo, non tutti cadranno nella trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi troverà qualcuno che ci cadrà. E al criminale basta avere successo solo una volta ogni tanto.
Purtroppo non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web, ma ho provato a contattare via mail alcuni clienti per chiedere se se la sentono di dirmi il nome della ditta alla quale hanno fatto l’ordinazione. Finora non ha risposto nessuno.
Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è
impressionante la quantità di organizzazioni che mette su alla bell’e meglio
una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.
Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque
altro. A quanto pare non è ancora stata capita diffusamente la lezione
fondamentale che non basta non dire a nessuno dove si trovano i dati e così
nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori
di ricerca generalisti, come Google, che permettono di trovare le pagine Web
pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i
motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e
catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.
Ieri (30 gennaio) ho segnalato
il caso di un elenco di clienti assicurativi della zona di Chieti,
allegramente consultabile e modificabile da chiunque da chissà quanto tempo
fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di
soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile
a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di
telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri
dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e
delle patenti di numerosi soccorritori volontari o professionisti.
Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore
a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da
Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono
32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia,
e così via (le date sono visualizzate nel formato statunitense mese-giorno-anno). Per ciascun utente è indicata anche la situazione
medica che rende necessario il trasporto.
E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma
digitalizzata:
C’è anche un elenco di “personale che non timbra da più di 3 settimane”:
Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto
sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS).
Non ho trovato il modo di capire chi sia il responsabile di queste pagine e
avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei
commenti.
Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un
problema peggiore: questi dati possono essere un appiglio perfetto per
compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un
esempio, se qualche truffatore o malintenzionato telefonasse alla signora
Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse
che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e
che passerà un incaricato a riscuoterlo, probabilmente la signora ci
crederebbe e aprirebbe la porta di casa all’“incaricato”.
A un livello più sofisticato, un malvivente potrebbe approfittare del fatto
che sa di questa violazione della privacy e contattare i responsabili del sito
chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse
troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe
meno di quello che costerebbe la sanzione del Garante più le spese legali e
quelle per mettere a posto il sito.
Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un
criminale informatico, che sicuramente avrà più inventiva di me.
—
2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza
Urgenza che mi segnala che con le informazioni che ho fornito privatamente
all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne
i responsabili.
—
2023/02/02 11:30. I dati non sono più accessibili via Internet.
