Vai al contenuto
Dati a spasso: elenco clienti assicurativi leggibile e modificabile da chiunque (aggiornamento: caso forse risolto)

Dati a spasso: elenco clienti assicurativi leggibile e modificabile da chiunque (aggiornamento: caso forse risolto)


Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per
tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come
maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando
tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono
affatto necessarie, perché i dati sono stati messi maldestramente a
disposizione del primo che passa e sono accessibili via Internet da chiunque
abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la
segnalazione di un sito aperto a chiunque che contiene quello che sembra
essere un elenco di dati assicurativi di clienti italiani, probabilmente della
zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle
polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di
cliente ma è un avviso:
“Buongiorno questo database è accessibile a chiunque via Internet”,
tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è
accorto che è non solo leggibile da chiunque ma è anche modificabile da
chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi,
come Shodan, che ho citato tante volte qui
e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta
Internet, e prendono nota dei siti che hanno degli accessi non protetti. È
sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto:
telecamere di sorveglianza accessibili, server leggibili e scrivibili da
chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente
immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati
anche da Google, appunto, anche se trovarli in questo modo richiede molta più
fatica. Infatti nel caso che mi è stato segnalato, il sito contenente
l’archivio di dati personali di assicurati italiani è non solo reperibile in
Google ma è anche nella sua cache, ossia nella copia temporanea che
Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno
accessibili, almeno in parte, anche per qualche tempo dopo che il sito
lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta
responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e
documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato
che l’archivio non risultava più pubblicamente accessibile via Internet, anche
se la copia cache è tuttora presente in Google. Probabilmente l’avviso
lasciato in bella vista ha attirato positivamente l’attenzione dei
responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lensa AI, avatar personali bellissimi ma a rischio

Lensa AI, avatar personali bellissimi ma a rischio

Immagine
generata
da Lensa AI per
Farah Mazuini.

Questo articolo è disponibile in versione audio nel
podcast
Il Disinformatico
del 23 dicembre 2022. Ultimo aggiornamento: 2022/12/23 23:30.

Moltissime persone stanno usando la funzione Magic Avatar dell’app
Lensa AI per crearsi dei ritratti
personali digitali stilizzati, da usare per esempio come immagini dei profili
social ma anche per puro divertimento, e i risultati sono davvero notevoli.
Gli incassi della casa produttrice, Prisma Labs, ammontano già a svariati
milioni di dollari.

Ma per usare Lensa AI bisogna
affidare
a quest’azienda una decina di foto del proprio volto, quindi una serie di dati
biometrici sensibili. Pertanto sarebbe opportuno leggere l’informativa sulla riservatezza dei dati
e le condizioni d’uso per scoprire
che fine fanno queste foto: vengono depositate temporaneamente sui server
dell’azienda, che si trovano negli Stati Uniti, e cancellate subito dopo la
generazione degli avatar corrispondenti. Così dice Andrey Usoltsev, CEO e
cofondatore di Prisma Labs.

Il problema è che oltre alle vostre foto, Lensa AI acquisisce molte altre
informazioni personali “a scopo di marketing”, come per esempio
(sezione 3 delle condizioni d’uso) che tipo di smartphone usate, il vostro
indirizzo IP e soprattutto i dati di tracciamento pubblicitario raccolti dai
principali operatori del settore, ossia i cosiddetti IDFA di Apple o
gli Android Advertising ID di Google, che possono essere poi ceduti o
rivenduti ad altre società.

Potete disabilitare questa raccolta di dati andando nelle apposite
impostazioni di iOS o di Android e seguendo le istruzioni fornite
nell’informativa di Lensa AI.

Ci sono anche alcune precauzioni che riguardano in particolare i bambini e le
donne: mandare a Lensa AI immagini di bambini è contrario alle condizioni
d’uso e produce risultati che mi limito a definire
inquietanti. Per le donne, invece, Lensa AI ha una spiccata tendenza a generare
immagini
fortemente sessualizzate: l’app spesso genera nudi integrali e pose molto
esplicite anche se si mandano solo fotografie del proprio volto.

Fonte: @CharlotteStar5.

Stranamente non sembra esserci lo stesso problema per gli uomini: per loro
vengono generate solitamente immagini in stile eroico o comunque ritratti
normali. Potete farvene un’idea sfogliando i
tweet che usano l’hashtag #lensaai.

Fonte: @Kylifornication.

Fonte: @Stevenbarrett41.


Ma il problema più grave è che è possibile usare Lensa AI per generare
immagini pornografiche realistiche di altre persone in modo pericolosamente
semplice. Se si appiccica rozzamente, con Photoshop, il volto di una persona
su immagini esplicite di un’altra, Lensa AI fonde perfettamente le due
immagini.

Lensa AI usa una versione del software di intelligenza artificiale Stable
Diffusion che è dotata di filtri che in teoria dovrebbero bloccare le immagini
non adatte, ma a quanto risulta dai test effettuati dai ricercatori questi
filtri vanno in tilt se si usa una serie appositamente confezionata di
immagini.

Le immagini pornografiche false di celebrità o di persone comuni, usate spesso
come strumenti di aggressione, bullismo o umiliazione, purtroppo non sono una
novità, ma generarle prima richiedeva una notevole competenza nell’uso di
programmi di fotoritocco e questo ne frenava la produzione e l’abuso. Ora,
invece, grazie a Lensa AI questo ostacolo non esiste più: bastano un
telefonino e pochi dollari.

Prisma Labs ha dichiarato che sta prendendo delle misure tecniche per
risolvere questo problema, ma l’avvento generale di questi software di
intelligenza artificiale sta creando un pantano etico che sta già spingendo
alcuni governi, come per esempio quello
britannico, a valutare leggi che criminalizzino la disseminazione di foto intime
generate artificialmente senza consenso.

Nel frattempo è forse il caso di ridurre, se possibile, la quantità di
fotografie dei nostri volti che mettiamo a disposizione di chiunque
pubblicandole sui social network. L’intelligenza artificiale, purtroppo, non
aiuta a contrastare la cattiveria naturale.

 

Fonte aggiuntiva:
TechCrunch.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Twitter, è ora di proteggere meglio i nostri account

Twitter, è ora di proteggere meglio i nostri account

Ultimo aggiornamento: 2022/11/17 10:40. L’articolo è stato riscritto
estesamente per tenere conto degli aggiornamenti ed è disponibile anche in
versione podcast audio. Immagine generata appositamente da
Lexica.art.

Con le
dimissioni
dei responsabili per la privacy e la
sicurezza
e metà del personale licenziato, Twitter è particolarmente vulnerabile ad
attacchi o a passi falsi dei suoi addetti, sotto stress per le richieste
sempre più incoerenti ed estreme di Elon Musk di effettuare modifiche senza
effettuare prove preliminari.

Sull’azienda pesa anche un
consent agreement con la FTC statunitense, che prevede che ogni nuovo prodotto o servizio sia
sottoposto a un vaglio documentato di sicurezza consegnato per iscritto. In
caso di inadempienza, Twitter dovrebbe pagare sanzioni pesantissime, come già
successo a Facebook. L’impossibilità di fornire questa documentazione a causa
delle richieste continue di modifiche fatte da Elon Musk sarebbe la ragione
principale delle dimissioni dei responsabili di privacy e sicurezza.

Vista la fragilità di Twitter, se lo usate è opportuno fare una copia di
backup del vostro account: trovate le istruzioni nelle pagine Web di
assistenza clienti di Twitter. Una volta fatto il backup, vi conviene
eliminare qualunque messaggio privato potenzialmente imbarazzante.

È infatti importante ricordare che
i messaggi “privati” su Twitter, i cosiddetti DM, non sono cifrati
end-to-end; non lo sono da anni, non è una novità.
Per cui i dipendenti di Twitter possono leggerli e un loro errore tecnico può
esporli a malintenzionati. Oggi più che mai, quindi, è sconsigliabile usarli
per qualunque comunicazione che potrebbe causarvi disagio o imbarazzo qualora
diventasse pubblica.

C’è anche il rischio che il personale neoassunto potrebbe approfittare di
eventuali accessi ai DM per scopi personali. Visto che è stato assunto di
corsa, non si sa se ci sia stato un vaglio o vetting degli assunti.

In ogni caso, è evidente che il momento di minore sicurezza di qualunque
azienda è quello in cui sta avvenendo un grande ricambio del personale. Se poi
dall’alto arrivano richieste continue di modifiche da mettere immediatamente
in produzione, il rischio di un passo falso è molto alto.

A questo punto credo che sia opportuno dare quattro consigli:

  1. Fate un backup del vostro account Twitter
  2. Attivate l’autenticazione a due fattori, se non l’avete già fatto, ma
    attenzione a non uscire dall’account
  3. Eliminate i vostri DM
  4. Usate Signal o altre app con cifratura end-to-end per i messaggi non
    pubblici

Chiedo a chiunque abbia scambiato DM con me di cancellarli, come sto facendo
io. Non ho mai usato i DM per cose particolarmente sensibili, ma preferisco
fare pulizia totale. Grazie.

Come fare un backup del proprio account

Per fare il backup del proprio account, le istruzioni in italiano sono
qui su Twitter

Si riceve un file ZIP che, una volta scompattato, include un file HTML e delle
cartelle contenenti i dati. Il file HTML fa da indice sfogliabile (ma è molto
incompleto; leggete i file README.txt inclusi nello ZIP per sapere come
sfogliare tutti i dati):

Cliccando sulle voci Tweet e Messaggi Diretti della colonna di
sinistra compare un elenco cercabile delle rispettive sezioni. Consiglio
comunque di leggere direttamente i file JSON forniti nello ZIP.

Come eliminare i DM

Attenzione: eliminare i DM li cancella dai vostri dispositivi ma non da
quelli del destinatario e neanche dai server di Twitter. È comunque meglio di
niente, perché se qualcuno vi ruba l’account, approfittando magari di qualche
falla di Twitter, non potrà leggere i vostri DM [Graham Cluley].

Potete inoltre chiedere al destinatario di eliminare i DM che vi siete
scambiati, oppure eliminare completamente il vostro account Twitter. 

Per eliminare rapidamente tutti i messaggi privati scambiati con un dato
utente, sull’app si può toccare l’icona di info in alto a destra nella
conversazione con l’utente in questione e poi toccare
“Elimina conversazione”.

Attenzione all’autenticazione a due fattori

A questo punto normalmente vi consiglierei di verificare di aver attivato
l’autenticazione a due fattori, ma a riprova della fragilità di Twitter in
queste prime settimane della gestione Musk, molti utenti stanno segnalando che
una delle modifiche richieste da Elon Musk ha probabilmente danneggiato il
sistema di autenticazione, per cui chi esce dal proprio account e ha
l’autenticazione a due fattori non riesce a rientrarvi. Siate prudenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cellulari che ascoltano? Il Garante Privacy italiano indaga

Cellulari che ascoltano? Il Garante Privacy italiano indaga

Molti giornali stanno riprendendo l’annuncio
del Garante italiano per la protezione dei dati personali, che ha avviato
un’indagine sulle app che userebbero il microfono dello smartphone per
ascoltare le conversazioni degli utenti ed estrarne parole chiave a scopo
pubblicitario.

Ma l’annuncio va letto attentamente, per evitare informazioni ingannevoli come
quella del Messaggero, che
dice
che
Secondo il Garante della privacy [lo smartphone] verrebbe utilizzato
per carpire informazioni rivendute poi a società per fare proposte
commerciali.

Il Garante non ha detto questo. Ha semplicemente avviato un’istruttoria che
prevede l’esame di “una serie di app tra le più scaricate” a seguito di
segnalazioni di “un servizio televisivo e diversi utenti”, secondo i
quali
“basterebbe pronunciare alcune parole sui loro gusti, progetti, viaggi o
semplici desideri per vedersi arrivare sul cellulare la pubblicità di
un’auto, di un’agenzia turistica, di un prodotto cosmetico.”

In altre parole, il Garante per ora non ha prove che esista
questo abuso del microfono dello smartphone. Sta agendo, stando perlomeno al
suo comunicato, soltanto sulla base di queste segnalazioni di utenti e di un
servizio TV (non specificato, ma probabilmente è
questo di Striscia la Notizia, che usa un metodo sperimentale decisamente discutibile). Segnalazioni e
servizi che potrebbero anche aver preso un granchio, visto che la questione è
già stata affrontata varie volte con
test di esperti ed
è risultato che quello che molti utenti credono che sia stato carpito
ascoltando le loro conversazioni è in realtà semplicemente il risultato
dell’analisi incrociata della montagna di informazioni personali che
riversiamo nei nostri smartphone.

Usate Gmail? Google legge tutta la vostra posta e quindi sa i vostri gusti,
cosa comprate online e altro ancora. Usate i social network? Facebook (anche
con Instagram e WhatsApp) sa quali sono i vostri interessi. Questi servizi
sanno anche dove siete e con chi siete, grazie alla geolocalizzazione e alla
co-localizzazione: se due smartphone sono a lungo nello stesso posto e i due
utenti hanno avuto una comunicazione social o via mail, probabilmente si
conoscono e si parlano su argomenti che interessano a entrambi, quindi i
servizi pubblicitari mandano a ciascuno pubblicità dei prodotti che
interessano all’altro.

Aggiungiamoci poi la cosiddetta
illusione di frequenza
che ci spinge a notare le
coincidenze
e a dimenticare le non coincidenze, è il gioco è fatto: si ha l’impressione
che il telefonino ci ascolti.

In realtà che io sappia esiste un solo caso conclamato di ascolto ambientale
effettuato da un’app: nel 2019 l’app ufficiale del campionato spagnolo di
calcio, LaLiga, fu
colta
a usare il microfono e la geolocalizzazione degli smartphone per identificare
i locali che trasmettevano le partite senza autorizzazione. L’agenzia spagnola
per la protezione dei dati diede all’organizzazione sportiva una sanzione di
250.000 euro.

In attesa dei risultati dell’indagine del Garante italiano, è comunque sensato
andare nelle impostazioni del proprio smartphone e guardare quali applicazioni
hanno il permesso di accedere al microfono, levandolo nei casi sospetti. La
procedura varia a seconda del tipo di smartphone (Apple o di altre marche) e
della versione di sistema operativo (iOS o Android).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio del 29/4/2011

È disponibile temporaneamente per lo scaricamento
qui
il podcast della puntata di ieri del Disinformatico. Questi sono i temi
e i rispettivi link agli articoli di supporto alla trasmissione: il
matrimonio reale britannico di William e Kate e i relativi problemi
online
(a rischio sicurezza e identità degli utenti), la
risposta di Apple all’accusa di tracciamento
degli utenti di iPhone e iPad, le nuove
accuse di tracciamento degli utenti rivolte a TomTom, la
bufala della chiusura dell’ultima fabbrica di macchine per scrivere
e la bufala di
Neil Armstrong presunto seguace di Sai Baba.

Questi articoli erano stati pubblicati inizialmente sul sito della Rete Tre
della Radiotelevisione Svizzera, dove attualmente non sono più disponibili.
Vengono ripubblicati qui per mantenerli a disposizione per la
consultazione.

Macchine per scrivere, adieu? Genesi di una bufala

“Ha chiuso i battenti in India l’ultima fabbrica al mondo che produceva
macchine da scrivere”. Così
ha scritto l’agenzia ANSA
(ribadendolo
qui), alimentando un coro di necrologi (Corriere della Sera, Tribune de Genève,
Swissinfo.ch) in
tutto il mondo
per la scomparsa di questo strumento di produttività ormai soppiantato dal
computer. La ditta indiana Godrej & Boyce Manufacturing Company avrebbe
infatti cessato la produzione e sarebbe stata l’ultima del suo genere del
nostro pianeta.

Ma è una bufala: la fonte citata dall’ANSA per la notizia è il
Daily Mail
britannico, che a sua volta probabilmente l’ha presa dal
Business Standard
indiano. La notizia originale afferma che la Godrej & Boyce è
“l’ultimo fabbricante di macchine per scrivere al mondo”, ma non
corrisponde alla realtà. Infatti esistono tuttora aziende come per esempio
l’americana Swintec, che fabbrica
macchine per scrivere meccaniche trasparenti
per i carcerati: impossibile usarle per contrabbandare.

Inoltre le ticchettanti macchinette sono ancora in vendita presso negozi
online come
Staples
e Amazon, con
marchi come
Brother, IBM e Olivetti (anche meccaniche). Forse la ditta indiana intendeva dire di
essere l’ultima a fabbricare macchine per scrivere meccaniche per ufficio, ben
diverse da quelle elettriche o meccaniche portatili offerte dalle altre
marche. Ma sta di fatto che le notizie della scomparsa della macchina per
scrivere, come si suol dire, sono ampiamente esagerate.

Fonti aggiuntive:
Washington Post,
Wall Street Journal.

Neil Armstrong seguace di Sai Baba?

Numerose testate giornalistiche, in occasione della recente morte del santone
indiano Sai Baba, hanno aggiunto un dettaglio intrigante: Neil Armstrong,
l’astronauta che insieme a Buzz Aldrin mosse i primi passi dell’umanità sulla
Luna, sarebbe stato fra gli adepti di Sai Baba. Per esempio,
La Stampa ha pubblicato un
articolo
intitolato “I Beatles, Craxi, e Neil Armstrong stregati dal guru” e
l’asserzione è stata ripresa anche in un altro
articolo
dello stesso giornale e dal
TGCom:
“E perfino il primo uomo sulla luna, l’astronauta Neil Armstrong, non e’
sfuggito al fascino del guru indiano”. Anche la RSI ne ha parlato nella
puntata di Modem del 27 aprile scorso.

Neil Armstrong ha smentito la notizia il 28 aprile.

Dopo Apple, anche Tom Tom "spiona"? Non proprio

È esplosa la psicosi del tracciamento e della violazione della privacy da
parte dei dispositivi elettronici che ci accompagnano e assistono nelle nostre
attività quotidiane: dopo Apple, stavolta è il turno di TomTom, i cui
navigatori sono stati accusati di trasmettere indirettamente alle forze di
polizia i dati sulla velocità di guida degli utenti.

Secondo
DutchNews.nl, infatti, la TomTom si è trovata a sua insaputa a vendere questi dati alle
forze di polizia olandesi tramite un intermediario, e la polizia locale ha
utilizzato questi dati per scegliere la collocazione più strategica dei
“radar” o rilevatori automatici di infrazioni dei limiti di velocità.

La notizia ha causato un certo panico fra i guidatori dal piede pesante e una
certa ilarità fra chi ha osservato che TomTom aiuta la polizia a scegliere
dove mettere i “radar” ma al tempo stesso in molti paesi include nei propri
navigatori una
funzione
che allerta l’utente quando si avvicina a uno di questi rilevatori.

Ma i termini della faccenda sono stati chiariti prontamente dall’azienda in un
comunicato e in un
video
(in inglese) dell’amministratore delegato: i dati vengono venduti con il
consenso dell’utente, come da licenza d’uso, e vengono anonimizzati, per cui
non possono essere utilizzati in alcun modo per multare i conducenti ma
soltanto per sapere che in una determinata zona sono avvenute violazioni dei
limiti di velocità, e l’invio di dati (differito o immediato, se si usa un
navigatore con funzione Live) può essere disattivato.

Apple risponde alle accuse di tracciamento degli utenti

Apple ha finalmente pubblicato una
dichiarazione
in merito alla scoperta di un file, presente sugli iPhone e sugli iPad 3G, che
sembra memorizzare gli spostamenti dell’utente: non si tratta, a detta di
Apple, di un tracciamento dell’utente, ma di un archivio temporaneo che questi
dispositivi scaricano da Apple e che contiene una mappa continuamente
aggiornata delle posizioni delle antenne cellulari e Wifi situate nelle
vicinanze dell’utente. Questo consente al telefonino o all’iPad di sapere dove
si trova molto più rapidamente rispetto al sistema tradizionale basato sul
GPS.

Tuttavia, ha precisato Apple, c’è un difetto nel sistema di gestione di questo
file, per cui sul dispositivo i dati restano memorizzati troppo a lungo;
questo problema verrà risolto con un aggiornamento del software, che smetterà
inoltre di salvarne una copia sul computer dell’utente. Anche dopo la
correzione, comunque, sul telefonino resterà un archivio parziale, che
permetterà indirettamente di determinare gli spostamenti dell’utente nel corso
dell’ultima settimana e sarà protetto tramite cifratura a partire dal prossimo
aggiornamento importante di iOS. Sarà inoltre possibile eliminare del tutto
questa memorizzazione disattivando le funzioni di geolocalizzazione del
telefonino o tablet. Ironicamente, per i clienti Apple, spesso attratti dalla
semplicità d’uso dei prodotti dell’azienda, si prospetta la necessità di
mettersi a studiare approfonditamente il manuale dell’iPhone e dell’iPad.

Non tutti sono convinti dalle spiegazioni di Apple: per esempio non lo è Ross
Anderson, professore di ingegneria della sicurezza all’Università di
Cambridge, che le ha definite "non plausibili" (BBC). Le autorità governative in Italia, Germania, Francia e Corea del Sud
stanno inoltre indagando per determinare se siano state violate le norme
locali sulla privacy; inoltre alcuni utenti statunitensi hanno avviato una
causa legale (Bloomberg).

Facebook: se non siete reali, non siete… reali

Il matrimonio di un VIP nell’era di Internet comporta tutta una serie di nuovi
problemi digitali, non solo per gli sposi ma anche per gli utenti.

Per esempio, avete la sfortuna di chiamarvi Kate Middleton e volete avere un
profilo su Facebook? Niente da fare: gli amministratori del social network in
blu cancellano sistematicamente i profili degli omonimi della sposa reale,
accusandoli di essere falsi. È successo per esempio a Kate Middleton di
Boston: Facebook le ha sospeso il profilo a gennaio e l’ha
"staggata" in tutte le foto, e c’è voluta una settimana per
convincere Facebook a ripristinare tutto, nonostante le foto mostrassero che
non c’era alcuna somiglianza o impostura. La stessa cosa è succesa a una donna
australiana e a due donne inglesi, che hanno dovuto dimostrare la propria
identità per farsi ripristinare il profilo Facebook.

La ricerca a casaccio di informazioni sul matrimonio di William e Kate può
causare anche problemi di sicurezza informatica. F-Secure
segnala
infatti che digitando in Google le parole chiave riguardanti l’evento, per
esempio per trovare immagini, è facile imbattersi in immagini che portano a
siti che sono stati infettati e quindi visualizzano dei messaggi di un falso
antivirus, che spaventano l’utente facendogli credere di essere infetto e
convincendolo a scaricare un programma che promette di risolvere il problema
ma in realtà è un virus o un programma inutile che però si paga. Conviene
restare nei siti delle testate giornalistiche, o in quelli ufficiali (www.officialroyalwedding2011.org,
TheBritishMonarchy
su Facebook e
ClarenceHouse
su Twitter) invece di cercare scoop nei bassifondi della Rete.

Se invece siete fra gli invitati al matrimonio reale e siete preoccupati per
le notizie di dispositivi che bloccano i cellulari nella zona dell’evento per
evitare Tweetate indiscrete o suonerie nei momenti più solenni, niente paura:
Scotland Yard e la Metropolitan Police londinese hanno smentito.

Fonti:
Associated Press,
Allfacebook,
Yahoo,
CBS News.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
“Cookie wall”: se vuoi leggere certi giornali italiani devi farti profilare. È legale? Qualche fonte per ragionarci su

“Cookie wall”: se vuoi leggere certi giornali italiani devi farti profilare. È legale? Qualche fonte per ragionarci su

Da pochi giorni Repubblica, La Stampa e altri giornali hanno cambiato le condizioni di accesso gratuito ai loro siti e ora bisogna accettare se farsi profilare con i cookie o sottoscrivere un abbonamento. Cosa già fatta da Fatto Quotidiano e altre testate.

Il Garante della privacy italiano ha avviato un esame della questione. Potete leggere un buon riassunto della vicenda su Il Post, che include anche riferimenti alle scelte analoghe fatte in altri paesi.

Qui sotto trovate un video sull’argomento di Matteo Flora.

Ne parla anche l’avvocato Andrea Michinelli su Cybersecurity360.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché identificare tutti sui social network è una pessima idea? Rispieghiamolo con gli esperti

Perché identificare tutti sui social network è una pessima idea? Rispieghiamolo con gli esperti

Pubblicazione iniziale: 2019/11/01. Ultimo aggiornamento: 2022/10/12
11:10.

La recente
proposta
di un deputato e responsabile economico di un movimento politico italiano,
Luigi Marattin (@marattin), di
obbligare
“chiunque apra un profilo social a farlo con un valido documento
d’identità”, usando poi eventualmente un nickname, allo scopo di contrastare la
violenza verbale, il razzismo e l’odio online, a prima vista sembra sensata e
ragionevole, ma non lo è.

Ci siamo già passati
un annetto fa, ma evidentemente serve un ripasso.

Ecco, in sintesi, perché la proposta non funziona ed esperti come
Stefano Zanero
(anche
qui)
e Massimo Mantellini la criticano duramente e la definiscono schiettamente
“una cretinata”
e il Garante per la Privacy italiano ha
usato
aggettivi come “velleitario” e “pericoloso” per descriverla.

1. Gli hater esteri non sarebbero toccati. Una legge nazionale avrebbe
efficacia solo nel paese che la emanasse. Qualunque utente di qualunque altro paese sarebbe
libero di continuare come prima. Se anche la si estendesse
all’Europa, chi non vive in Europa non ne sarebbe toccato.

2. Gli hater non si nascondono dietro l’anonimato: ci mettono nome e
cognome già adesso.
Lo ha fatto lo stesso Marattin. Spessissimo chi fa bullismo o odio online è ben conosciuto dalla vittima. 

 

Scambio su Facebook fra Michele Boldrin, economista, accademico ed ex politico italiano nonché utente autenticato (bollino blu), e un utente non autenticato, 11 ottobre 2022. Screenshot di Stefano Barazzetta. Approfondimento su Giornalettismo.

3. Gli unici penalizzati sarebbero coloro che hanno bisogno dell’anonimato
per proteggersi, come le donne maltrattate che vogliono sfuggire ai loro torturatori online
e lo possono fare solo se restano anonime o usano pseudonimi fortemente
protetti.

4. L’anonimato online è un diritto sancito dalla
Dichiarazione dei diritti in Internet, approvata all’unanimità a Montecitorio nel 2015.
Art.10: “Ogni persona può accedere alla Rete e comunicare elettronicamente usando strumenti anche di natura tecnica che proteggano l’anonimato ed evitino la raccolta di dati personali, in particolare per esercitare le libertà civili e politiche senza subire discriminazioni o censure.

5. Gestire i documenti d’identità di milioni di utenti costa ed è
complicato. Gli italiani su Facebook i sono circa
29 milioni. Ciascuno dovrebbe depositare un documento. Chi paga? Chi organizza? Chi
verifica? Chi custodisce i dati, vista la facilità con la quale
vengono rubati?

6. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che non depositano un documento? E se un utente esistente si rifiuta
di dare un documento, che si fa? E se il social network decide che non se la sente di accollarsi questo fardello tecnico immenso?

7. Che si fa con i turisti? Cosa succede a un turista che arriva nel paese e vuole usare il suo account social? Deve prima depositare un
documento? Chi controlla se lo fa o no? E come fa a controllare? Se non lo fa,
quali sarebbero le conseguenze? Lo si deporta?

8. La procedura andrebbe ripetuta per ogni social network
e per ogni spazio digitale pubblico. Facebook, Twitter, Instagram,
Tinder, Ask, Vkontakte, WhatsApp, Telegram… più tutti gli spazi di
commento dei giornali e dei blog. A quante aziende dovremmo dare i nostri
documenti?
A che titolo un blogger dovrebbe gestire i dati personali dei
propri commentatori? Forse si potrebbe attenuare il problema dando il
documento solo a un ente che rilascia un codice di autenticazione da dare ai
vari social, ma resterebbe una trafila con tutti i problemi già citati.

9. Se il documento andasse dato ai social network, significherebbe dare una
copia di un documento d’identità ad aziende il cui mestiere è vendere i
nostri dati.
E no, non è come dare la carta d’identità a un operatore telefonico per
aprire un’utenza cellulare: l’operatore è soggetto alle leggi europee sulla
privacy e non ha come scopo commerciale la vendita dei fatti nostri.
E non
è come lasciare un documento alla reception dell’albergo:
in realtà non lo si lascia, ma si viene identificati dal portiere tramite
il documento, e i dati vengono raccolti dalla polizia quotidianamente, non
finiscono in un gigantesco database gestito da privati, come spiega
Stefano Zanero.
Anche qui, come al punto precedente, questo problema potrebbe essere
attenuabile mettendo in mezzo un ente di autenticazione nazionale, ma la
trafila resterebbe.

10. Significherebbe delegare ad aziende estere la certificazione della
nostra identità.
Siamo sicuri che per esempio Facebook, quella di Cambridge Analytica, sia
un’azienda alla quale affidare la garanzia di chi siamo?
Quali sanzioni
ci sarebbero se Facebook si facesse scappare i nostri dati d’identità? E una
volta scappati, che si fa? Mica possiamo cambiare tutti faccia e nome.

11. Equivale a una schedatura di massa. Creerebbe un enorme
database centralizzato di dati, attività e opinioni personali di milioni di cittadini,
messo in mano a un’azienda o a un governo. E necessariamente consultabile da governi esteri.

12. Equivale a introdurre l’obbligo di presentare un documento d’identità
per spedire una lettera.
Sì, perché minacce e odio si possono mandare anche con lettere
anonime. Ma nessuno chiede obblighi di identificarsi per
spedire cartoline o scanner d’identità accanto a ogni
cassetta postale.
Perché per Internet
dovrebbe essere diverso?

13. È facile procurarsi scansioni di carte d’identità altrui. Ci
sono software appositi per crearle e ci sono i
furti in massa di scansioni di documenti reali. Questo permetterebbe agli hater di dare a qualcun altro la colpa delle
proprie azioni, con tanto di “certificazione”.

14. È dannatamente facile usare una VPN o Tor per creare account
apparentemente esteri.
Gli hater imparerebbero in fretta come fare. Molti lo sanno già fare.

15. Sarebbe facilissimo, per un hater, farsi aprire da terzi un account
all’estero, dove non vige l’obbligo, e poi usarlo.
Come farebbero le autorità ad accorgersene? Sorvegliando tutte le attività
online di tutti?

16. È inutile introdurre questo obbligo se le forze di polizia e di
giustizia sono insufficienti già adesso
per perseguire i casi di bullismo o molestia nei quali nomi e cognomi sono già
perfettamente noti.
Avere in archivio la carta d’identità non ridurrà la coda di pratiche inevase:
per questo serve più personale, non una legge in più.

17. Esistono già ora procedure tecniche e giuridiche che consentono di
identificare gli hater.
Ma gli hater non vengono quasi mai perseguiti perché non c’è personale
inquirente o giudiziario sufficiente, o perché i costi sono altissimi, non
perché non si sa chi sia il colpevole.

Per i tanti che hanno criticato gli esperti, lamentando che sanno solo
criticare ma non fanno proposte concrete: a volte capita di non avere una
soluzione a un problema, ma di essere in grado di dire quali azioni non lo
risolvono. Se un malato di cancro pensa di guarire prendendo un unguento
magico da diecimila euro a dose, un medico magari non sa come guarirlo, ma
sa che quell’unguento non farà nulla.

In ogni caso, le proposte concrete ci sono: sono quelle negli ultimi due
punti.

Per chi invece argomenta
“Ma se non dici niente di male e sei una brava persona, non hai niente
da temere da un’identificazione obbligatoria”: se sono una brava persona, perché mi si vuole schedare?

Per tutti quelli che dicono “Ma qualcosa bisogna pur fare!”:
certo, ma fare qualcosa non significa agire di pancia seguendo la prima
idea che viene lanciata. Significa ragionare, sentire gli esperti, e poi
procedere seguendo i loro suggerimenti.

Siamo tutti d’accordo nel voler rendere Internet più pulita. Ma questa
proposta è come cercare di spurgare una fogna con un colapasta.

2022/05/18 15:10. In particolare per il punto 16 (insufficienza delle
forze di polizia e di giustizia), segnalo l’esperienza dell’amico e collega
David Puente, raccontata in una
serie di tweet:

Penso a quanti “anonimi conigli” ho denunciato, individuando e provando la
loro identità, per poi trovarmi un Pm che richiede l’archiviazione. Non
perché mancano le prove per dimostrare l’identità, ma perché non viene
ritenuto un fatto da perseguire. 🧵👇

Faccio alcuni esempi. Il signor Stefano P. aveva pubblicato in un gruppo
Facebook (per niente piccolo e con tante interazioni) un commento dove mi
definiva “quello che pur di difendere il governo (da cui è pagato) si
venderebbe pure la madre”. Come è andata la denuncia?

Il Pm non ha chiesto l’archiviazione perché il soggetto non è stato
identificato. La decisione è arrivata dopo che l’indagato è stato
interrogato! Talmente assurdo che con un Pm del genere neanche faccio
opposizione. Da 1 a 10, quanto il signor Stefano P. si sente intoccabile?

Il Pm che ha chiesto l’archiviazione farebbe altrettanto se Stefano P.
pubblicasse un commento simile nei suoi confronti?  Non è l’unico
esempio, ne ho molti altri simili e le racconto quello di due persone
parecchio seguite sui social, non di “Tontolina68”.

Un complottista di una città del Sud, per niente sconosciuto, pubblica
diversi post nel suo canale Telegram (molto seguito) dove mi diffama
pesantemente. Quei testi sono stati copiati e incollati dai suoi seguaci su
Facebook. Una schifosa shitstorm che non ho tollerato.

Vengo chiamato per rispondere alle domande del Pm, il quale mi chiede come
avevo individuato l’identità dell’accusato. Faccio presente che tale
personaggio pubblica il suo volto nel canale, il suo profilo Facebook è
pubblico ed è noto per fatti di cronaca nazionali.

Mi viene richiesto uno screenshot “più dettagliato” del post dove vengo
diffamato. Avevo fornito anche il link del post Telegram, ancora oggi
pubblico, ma rendetevi conto che i miei legali avevano ottenuto anche
l’acquisizione digitale forense (che ha un costo).

Cosa potrebbero inventarsi per non procedere? Se anche questo Pm chiederà
l’archiviazione sarà l’ennesimo caso in cui un non anonimo e i suoi seguaci
(non anonimi) si sentiranno liberi e legittimati di diffamare chiunque.

Nel corso della pandemia abbiamo assistito alla diffusione di messaggi
diffamatori e violenti da parte di personaggi che si sono mostrati in volto
su Youtube, ottenendo milioni di visualizzazioni per i loro video. C’era chi
sosteneva e auspicava atti di violenza e omicidi.

Uno di questi ha fatto un video dove mostrava il luogo dove dovrei essere
sepolto. @CarloCalenda, ho denunciato la scorsa estate questo individuo e i
suoi seguaci che per due anni (ho fatto integrazione nel 2022) hanno diffuso
messaggi del genere contro di me e altre persone.

Ci sarà la richiesta di archiviazione? Cosa succede se uno di questi vive
all’estero? Può immaginare tutte le difficoltà da affrontare in questo caso,
nel frattempo un suo seguace squilibrato potrebbe decidersi di passare
all’azione (non virtuale) contro di me o altre persone

@CarloCalenda, lei e altri politici italiani potete sostenere quanto volete
l’assurda proposta dell’obbligo di registrarsi con identità verificata, ma
non risolverete mai il problema in questo modo. Cafoni e delinquenti si
sentono forti e ben difesi, pur mostrando il volto.

Non solo non risolverete il problema, ma rischiate di crearne altri come
hanno spiegato o le potrebbero spiegare @disinformatico, @lastknight,
@raistolo, @faffa42 e tanti altri che conoscono molto bene questo tema. Ecco
perché la sua proposta non la condividerò mai e poi mai.

I nomi delle persone che ho denunciato? Voglio prima vedere se verrà
richiesta l’archiviazione o se si deciderà di procedere. Per fortuna non
tutti la passano liscia, sia chiaro, ma il problema non è l’identità.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dati a spasso nel cloud: un’azienda italiana ha lasciato accessibili le scansioni dei documenti dei clienti

Dati a spasso nel cloud: un’azienda italiana ha lasciato accessibili le scansioni dei documenti dei clienti

Questo articolo è disponibile anche in
versione podcast audio. Ultimo aggiornamento: 2022/09/09 13:00.

Il cloud è bello. Permette di accedere ai propri dati da qualunque dispositivo
in qualunque momento, consente la condivisione e la collaborazione, riduce i
costi aziendali. Ma quando è fatto male e configurato peggio, apre la strada a
disastri di sicurezza e i dati personali diventano accessibili e rubabili da
chiunque. Oggi vi racconto uno di questi disastri.

Mi è arrivata la segnalazione confidenziale, tramite un’app di messaggistica
sicura, di un’azienda italiana che ha un bucket Amazon completamente aperto
e world-readable che causa un data leak
gravissimo.

Traduzione: le scansioni dei documenti d’identità dei clienti di quell’azienda
sono leggibili e scaricabili da chiunque usando un semplice programma di
navigazione, senza dover digitare password o altro, in violazione di tutti i
princìpi e le leggi sulla protezione dei dati personali. Nomi, cognomi,
fotografie, tessere sanitarie, moduli con indirizzi di casa e date di nascita,
insomma tutto quello che serve per un furto di identità di massa o per una
serie di truffe online, è aperto e a disposizione di qualunque saccheggiatore.

Partiamo dalle basi. Un bucket è un contenitore di dati del servizio
cloud di Amazon. Molti utenti comuni non lo sanno, ma Amazon, oltre a essere
un immenso negozio online, è anche un grandissimo fornitore di servizi cloud.
In pratica, numerosissime aziende di tutto il mondo affittano spazio sui
server di Amazon e vi depositano i propri dati. Invece di costruirsi un
cloud
interno, con tutti i costi e le complicazioni del caso, creano un cloud
sui computer di Amazon.

Il problema è che se questo cloud non viene impostato correttamente, i
dati sono accessibili a chiunque, ossia sono leggibili da tutto il
mondo: world-readable, appunto. Basta digitare in un qualsiasi browser
il nome del bucket
dell’azienda, che è facilmente reperibile o intuibile, seguito da
.s3.amazonaws.com, e si ottiene un elenco di tutti i file presenti nel
bucket.

A quel punto diventa banale creare un programma o script che legga
questo elenco e si scarichi tutti i file del bucket della malcapitata
azienda, creando una fuga di dati, ossia un data leak, di proporzioni
epiche.

E in effetti il caso che mi è stato segnalato è particolarmente imbarazzante e
grave. Ho verificato personalmente che i dati dei clienti dell’azienda, circa
un migliaio di file, sono perfettamente accessibili. Non faccio il nome
dell’azienda per ovvie ragioni di sicurezza e mi limito a dire che si tratta
di un nome piuttosto noto nel settore della fornitura di energia elettrica e
di gas in Italia.

Vedo per esempio la carta d’identità di Francesca, che abita a Casalecchio di
Reno, e anche la sua patente e la sua tessera sanitaria. Vedo i documenti di
Aurora, nata a Bologna nel 1997, e quelli parecchio sgualciti di Roberto, nato
a Prato nel 1975. Di queste persone vedo date di nascita, indirizzi di casa,
fotografie a colori. E ce ne sono tante, tante altre, inconsapevoli del fatto
che i loro dati personali sono a spasso sul Web. Se vi siete mai chiesti come
fanno i criminali ad aprire conti correnti o abbonamenti telefonici o altri
servizi senza usare i propri dati personali e farsi tracciare, ora avete la
risposta.

Ora che l’emorragia di dati è accertata, resta il problema di cosa fare. È
impraticabile contattare i singoli utenti per avvisarli che le scansioni dei
loro documenti sono accessibili via Internet e che quindi devono fare
attenzione a eventuali attivazioni fraudolente di servizi a loro nome ed
eventualmente denunciare l’azienda in questione per violazione delle norme
sulla riservatezza dei dati. Gli utenti da contattare sarebbero troppi, e
comunque molti di loro sarebbero diffidenti verso chiunque li contattasse con
un avviso del genere.

Le vittime dell’errore informatico resteranno quindi, purtroppo, all’oscuro di
tutto. Si potrebbe allora contattare l’azienda in questione e avvisarla. Ma
chi mi ha segnalato il problema dice di averlo già fatto, senza ottenere
risultato. L’ho fatto anch’io, trovando con fatica nel sito dell’azienda
l’indirizzo di mail del responsabile per la protezione dei dati, e gli ho
scritto avvisandolo che avrei raccontato pubblicamente la vicenda. Al momento
in cui registro questo podcast non ho ancora avuto risposta. Ma un primo
risultato sembra che ci sia: poco dopo l’invio della mia mail, i dati non
risultano più accessibili. Forse la segnalazione ha avuto effetto.

Purtroppo capita spesso che le aziende facciano invece finta di niente e
continuino a lasciare in bella vista i dati dei loro clienti nonostante siano
state ampiamente avvisate. In casi come questi si finisce per fare una
segnalazione al Garante per la privacy
[in Svizzera si fa all’Incaricato Federale per la Protezione dei Dati], che prende poi i provvedimenti del caso, che possono includere sanzioni
molto elevate.

Queste sanzioni per chi commette errori grossolani dovrebbero in teoria fare
da deterrente e indurre le aziende a lavorare con più attenzione, ma non
sempre è così. In ogni caso, le sanzioni non risolvono il problema che le
informazioni personali degli utenti sono ormai disseminate su Internet e non
c’è modo di riprenderle. E ovviamente dati come la data di nascita o il nome e
cognome non sono modificabili in caso di furto come si fa con le password.

L’unica, magra consolazione è che almeno alcuni dei documenti hanno una data
di scadenza, per cui fra qualche anno le loro scansioni non saranno
utilizzabili. Nel frattempo, a noi utenti, ai quali viene chiesto
continuamente di mandare scansioni di documenti per fare acquisti e
attivazioni online di ogni genere, non resta che alzare la guardia, rifiutando
se possibile queste scansioni e facendo attenzione a eventuali avvisi di
attivazione di servizi o di acquisti sospetti.

Addendum post-podcast 1: Molti commentatori mi hanno giustamente chiesto
come mai non ho segnalato alle autorità, per esempio alla Polizia Postale,
questa violazione delle norme sulla protezione dei dati, dato che si tratta
quasi sicuramente di un reato di cui ho notizia. La risposta è che ho scelto
la strada che prometteva di tutelare più rapidamente le vittime di questa
situazione, ossia i titolari dei documenti pubblicati online.

Se avessi fatto la segnalazione alla Postale o al Garante Privacy italiano, ci
sarebbe stata l’incognita dei suoi tempi di intervento, oltre al tempo che
avrei dovuto spendere per spiegare in dettaglio l’accaduto e per rispondere
all’inevitabile domanda “Ma lei come ha fatto a scoprirlo?” che mi
avrebbe portato a dover spiegare tutta la questione delle fonti confidenziali
e della loro tutela giornalistica. Mandando una mail direttamente all’azienda,
invece, c’era la speranza che ci sarebbe stato un intervento immediato, e
stavolta è andata così. Se non ci fosse stato l’intervento, a quel punto avrei
seguito la strada ben più lenta e tortuosa della segnalazione alle autorità
competenti.

In questo caso è bastata una normale mail (neanche una PEC) molto concisa al
DPO (data protection officer o responsabile per la protezione dei dati)
dell’azienda. Questa:

Buongiorno, sono un giornalista informatico. Vi segnalo che un vostro
bucket
Amazon è completamente aperto e accessibile a chiunque,
consentendo di
accedere a scansioni di documenti personali.

Link di esempio:

https://[omissis].amazonaws.com/filled/%5Bomissis%5D.JPG

Sto
preparando un articolo sulla vicenda, nel quale non citerò
esplicitamente
il nome della vostra azienda per tutelare i vostri clienti.

Naturalmente
è opportuno che provvediate a chiudere questa vulnerabilità.

Vi
chiedo, se possibile, un commento pubblicabile sulla questione.
L’articolo
sarà pubblicato tra circa due ore su Disinformatico.info.

Cordiali
saluti

Paolo Attivissimo

Sono passate ormai quasi 24 ore da quando ho inviato la mail, ma non ho ancora
ricevuto nessuna comunicazione da parte del DPO, nemmeno un semplice
“grazie”. Presumo che non arriverà mai. 

Addendum post-podcast 2: Dai commenti arriva un suggerimento protettivo interessante: quando si fa una scansione/fotocopia di un documento di identità, apporre sopra l’immagine una dicitura del tipo “Scansione ad uso esclusivo di [NomeAzienda]”. In caso di fuga di dati, questo permette di tracciarne la fonte; in caso di uso fraudolento di una scansione o fotocopia, mette in allarme l’azienda alla quale viene inviata indebitamente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Story: Di chi sono i tuoi dati quando muori?

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di
questa puntata, sono qui sotto.

Prologo

NOTA: questo podcast contiene informazioni di natura legale, ottenute da
una consulenza con uno specialista della materia, ma non sostituisce una
consulenza legale personale.

[CLIP: Rumore di traffico cittadino]

Siamo a Lugano, in una caldissima giornata d’estate. La persona davanti a me
mi sta chiedendo una consulenza tecnica molto particolare: vuole sbloccare il
telefonino di un familiare morto in circostanze tragiche. Su quello smartphone
ci sono informazioni che permetterebbero alla famiglia di capire meglio quelle
circostanze e forse trovare pace, o recuperare dati essenziali per gestire le
conseguenze pratiche del lutto improvviso. Ma c’è un problema: la persona è
morta senza lasciare alla famiglia il codice di sblocco del dispositivo.

I dati sono quindi inaccessibili, a meno che si riesca a trovare la maniera di
scoprire quel codice oppure scavalcarlo, e gli informatici spesso questi
metodi li conoscono. Ma a questo punto c’è un altro problema: il diritto della
famiglia di accedere ai dati della persona che non c’è più. Dati che
potrebbero contenere segreti o confidenze che la persona non voleva
assolutamente condividere con i propri familiari. Cosa si fa in questi casi?

Questa è la storia, non facile da raccontare, delle nostre eredità digitali, e
di come oggi sia necessario pensarci per tempo, perché nei nostri dispositivi
elettronici chiudiamo a chiave parti sempre più consistenti della nostra vita
e dei nostri rapporti personali e professionali, custodiamo segreti, codici di
accesso e foto intime. E se da una parte la tecnologia rende sempre più
difficile scavalcare le protezioni di questi dispositivi, dall’altra c’è un
fatto legale sorprendente, che probabilmente toglierà il sonno a molti: i
morti non hanno privacy.

Benvenuti a questa puntata del Disinformatico, il podcast della
Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Lo so, è un argomento che molti considerano macabro o addirittura tabù, ma
prima o poi capita praticamente a tutti che un familiare ci lasci per sempre,
e oggi a tutti gli altri problemi che questa dipartita comporta si aggiunge
quello della gestione dei dati digitali di chi non c’è più.

Anche nelle circostanze meno drammatiche, la scomparsa di una persona cara
comporta che chi le sopravvive debba mettere ordine nelle cose del defunto. E
quelle cose, oggigiorno, sono spesso in formato digitale, custodite
esclusivamente nello smartphone e nei servizi cloud associati a quello
smartphone. Dalle bollette agli abbonamenti, dai contratti alle iscrizioni, è
tutto sempre meno su carta. Chiudere questi rapporti, o anche solo scoprirne
l’esistenza, diventa sempre più difficile, perché in giro per casa non ci sono
lettere o bollette cartacee nelle quali imbattersi.

C’è poi la questione degli account sui social network: se non si hanno le loro
password, non è possibile accedervi, nemmeno per comunicare il lutto o per
chiuderli. E se si hanno le password ma non si ha il PIN di sblocco dello
smartphone, non si possono ricevere neanche i codici di verifica di questi
account.

È importante fermare subito le
ipotesi
un po’ morbose sul prendere le impronte dalle dita della salma o usare il
riconoscimento facciale: lasciamole ai
telefilm, perché sono state
tentate
ma funzionano solo nell’universo degli sceneggiatori. Molti sensori d’impronta
moderni, per esempio,
rilevano
la conduttività elettrica dei polpastrelli, che cambia dopo la morte, mentre
il riconoscimento facciale richiede che gli occhi siano aperti e il viso non
abbia subìto i mutamenti fisiologici inevitabili del decesso.

Dal punto di vista tecnico, a volte è possibile aggirare tutte queste
protezioni. Gli smartphone meno recenti hanno delle falle di protezione dei
dati per cui è possibile scavalcare il PIN o reimpostarlo con opportuni
comandi o con software abbastanza facilmente reperibile. Gli specialisti delle
forze di polizia sono dotati di apparati appositi, come quelli fabbricati
dalla Cellebrite, che sbloccano
praticamente ogni smartphone esistente, ma vengono usati solo in circostanze
molto particolari, per esempio se ci sono aspetti non chiari nel decesso o se
c’è un procedimento legale in corso, e normalmente non sono disponibili al
pubblico.

Capita spesso, insomma, che un informatico riceva la richiesta degli eredi di
sbloccare uno smartphone di una persona deceduta. È capitato anche a me,
appunto, in varie occasioni, che naturalmente non posso raccontare in
dettaglio per rispetto delle persone coinvolte. A volte la motivazione è
puramente pratica, perché servono le password per chiudere dei contratti o
degli account o recuperare somme magari ingenti in bitcoin, e altre volte è
profondamente emotiva, per esempio perché una famiglia vuole recuperare le
ultime foto scattate insieme a una persona cara che non c’è più oppure vuole
cercare di capire le ragioni di un gesto estremo. Ma in ogni caso è una
richiesta sempre più frequente.

In situazioni come queste, però, oltre all’aspetto tecnico c’è anche quello
legale. Ammesso di riuscire a scoprire o scavalcare il PIN di uno smartphone,
è lecito dare ai familiari o agli eredi pieno accesso alle informazioni di una
persona deceduta? Magari aveva dei segreti che non voleva condividere con
queste persone: una malattia che teneva per sé, per non angosciare i cari, o
una storia sentimentale che voleva tenere privata per proteggere qualcuno, per
esempio. Molte persone tengono sul proprio smartphone pensieri personali e
immagini intime che probabilmente non desiderano condividere con i propri
figli o genitori.

La risposta a questo dubbio è piuttosto sorprendente: una volta decedute, le
persone non sono più persone, dal punto di vista legale, e quindi con poche
eccezioni non hanno più diritti personali, compreso quello alla riservatezza.
I dati dei defunti non sono più privati.

Si tratta di un principio diffuso in molti ordinamenti giuridici, compreso
quello svizzero, e solleva la
questione
della cosiddetta
postmortem privacy (pronunciato privasi, se preferite la pronuncia britannica). Ma questo
non vuol dire che eredi e familiari possano rivolgersi disinvoltamente a
informatici per scardinare le protezioni di computer, tablet e smartphone e
accedere a tutti i dati presenti o addirittura renderli pubblici. Ereditare
materialmente un dispositivo digitale, infatti, non significa automaticamente
ereditare pieno accesso ai dati contenuti nel dispositivo.

La ragione è semplice. È quasi inevitabile che quei dati riguardino anche le
persone viventi con le quali il deceduto ha intrattenuto comunicazioni: i loro
indirizzi e numeri di telefono, delle fotografie e dei video che li
ritraggono, i loro messaggi confidenziali, i segreti professionali e altro
ancora. Queste comunicazioni vengono considerate corrispondenza, e quindi in
Svizzera, per esempio, sono
tutelate
dall’articolo 13 della Costituzione Federale e dalla Legge Federale sulla
Protezione dei Dati. Tutele
analoghe
sono previste in tutti i paesi dell’Unione Europea e anche in molti paesi di
diritto anglosassone.

Non è l’unico ostacolo legale da superare. Un codice di blocco su uno
smartphone o una password su un computer o un account social vengono
normalmente considerati dalla legge come “provvedimenti tecnici” atti a
proteggere i dati personali contro un trattamento non autorizzato. Normalmente
vengono usati per proteggersi dai ladri digitali, ma possono anche indicare
un’intenzione di proteggere quei dati da chiunque, compresi eredi e
familiari.

Allo stesso tempo, però, va considerato che molti telefonini e computer si
bloccano automaticamente se non vengono usati e che non è materialmente
possibile aprire account per mail e social network senza impostare una
password, e quindi è difficile capire se i familiari siano stati esclusi
dall’accesso intenzionalmente o se la persona deceduta semplicemente non abbia
pensato a questo scenario.

Situazioni ambigue come queste possono essere risolte rivolgendosi a un
consulente legale e poi chiedendo a un giudice di valutare gli interessi in
gioco e decidere quali siano preponderanti, tenendo conto anche del fatto che
fotografie e testi del defunto possono essere considerate proprietà
intellettuale e quindi devono seguire le norme di successione riguardanti il
diritto d’autore. Ma in ogni caso si tratta di un procedimento oneroso, anche
dal punto di vista emotivo. E manca, a tutt’oggi, una rete di assistenza
legale e psicologica chiara per chi si trova in queste situazioni,
specialmente in seguito a un lutto improvviso.

Ma perlomeno per la parte pratica esiste una via più semplice.

Tutte queste complicazioni, infatti, si possono prevenire agendo in anticipo.
Molti social network prevedono un’opzione che consente di designare degli
eredi: Facebook, per esempio, ha il cosiddetto
“contatto erede”, come spiegato nel Centro assistenza online del social network. Lo stesso fa
Google, offrendo un
piano per l’eredità digitale. In alcuni casi si può invece scegliere di far
cancellare
automaticamente i propri account in caso di decesso.

Si può anche scegliere di affidare i propri PIN e le proprie password a una o
più persone di fiducia, sigillando queste informazioni in una busta da aprire
solo in caso di morte, escludendo le credenziali dei servizi che non si
desidera condividere e lasciando istruzioni su cosa fare dei vari account, per
esempio eliminarli o renderli
commemorativi, come previsto da Instagram e Facebook.

Per gli eredi, invece, ci sono due raccomandazioni tecniche di base: la prima
è tenere aperto per qualche tempo il contratto telefonico cellulare della
persona deceduta, perché potrebbe essere necessario per ricevere gli SMS
dell’autenticazione a due fattori o i link personalizzati per il recupero
degli account. La seconda è di non buttare via i dispositivi digitali del
defunto, anche se sono tecnicamente inaccessibili: c’è sempre la possibilità
che qualcuno, in futuro, scopra una tecnica inedita che consente di eludere o
sbloccare le loro protezioni.

Tutto questo può sembrare così lugubre e complicato da far passare la voglia
di affrontare il problema, ma la questione esiste e negarla non la risolverà:
l’aldilà digitale è una delle incombenze inaspettate della vita del
ventunesimo secolo.

Fonti aggiuntive

  • Un mio articolo molto più breve su questo stesso tema è uscito sul numero
    2/22 della rivista La Borsa della Spesa dell’ACSI
    (Associazione consumatrici e consumatori della Svizzera italiana).
  • Come
    inviare
    una richiesta relativa all’account Google di un utente deceduto.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cosa c’è nei file di telemetria di una Tesla? Molto più di quello che si immagina

Cosa c’è nei file di telemetria di una Tesla? Molto più di quello che si immagina

Questo articolo è disponibile anche in
versione podcast audio.

Man mano che l’elettronica si diffonde nelle automobili aumenta la quantità di
dati digitali che questa elettronica raccoglie, e capita sempre più spesso che
questi dati vengano anche trasmessi in tempo reale alle case costruttrici. È
la cosiddetta telemetria, resa popolare dalle corse automobilistiche,
le cui dirette televisive vengono arricchite dalla condivisione con gli
spettatori della velocità, dell’accelerazione e di vari altri dati che
arrivano via radio dalle singole vetture.

Di recente ho avuto la possibilità di esaminare da vicino quali dati vengono
raccolti da uno di questi sistemi di telemetria installati su auto da strada, ed è stata un’esperienza
illuminante: il livello di dettaglio è impressionante, e le implicazioni in
termini di privacy personale e di analisi degli incidenti meritano decisamente
di essere valutate con molta attenzione.

I dati di telemetria che ho esaminato si riferiscono a Tesla, che è una delle
marche che maggiormente punta sulla connettività e sul software per le proprie
automobili, ma anche altre case produttrici adottano soluzioni analoghe. Sono
dati che risiedono in una memoria locale, a bordo del veicolo, e vengono
trasmessi sostanzialmente in tempo reale alla casa costruttrice, che li
custodisce, conserva e analizza. Ogni proprietario di un’auto di questa marca
può richiederli accedendo alla
pagina apposita del sito di
Tesla con le proprie credenziali e seguendo le
apposite istruzioni. Esiste anche un’opzione di richiesta
dei dati dell’Event Data Recorder, un registratore di bordo
paragonabile alla “scatola nera” usata in aviazione, che è
accessibile
all’utente tramite cavi appositi e un software gratuito per Windows, fornito
dalla casa automobilistica.

Il file che si ottiene è in formato CSV standard e può essere letto da qualsiasi
applicazione compatibile, come Excel, Numbers o LibreOffice. È enorme e
dettagliatissimo: un solo giorno di telemetria può contenere decine di
migliaia di righe e occupare vari megabyte.

Ogni riga include un’indicazione della data e dell’ora precisa di ciascun
evento registrato. E gli eventi sono davvero tanti: vengono memorizzati oltre
240 parametri distinti, che permettono di ricostruire la dinamica di un
incidente in estremo dettaglio. Istante per istante, la telemetria annota
diligentemente dati ovvi, come la velocità, la direzione di marcia o
l’azionamento del freno o dell’acceleratore, e dati meno intuitivi, come il
rilevamento della presenza delle mani sul volante, l’accelerazione laterale e
longitudinale, la velocità di rotazione del veicolo intorno all’asse verticale
(in pratica la direzione nella quale sta curvando), la posizione del volante,
l’attivazione dell’ABS, le impostazioni delle funzioni di guida assistita e
persino le regolazioni dell’aria condizionata, dello sbrinatore e delle luci
interne.

Ma ci sono anche dati che riguardano la sfera personale: per esempio, vengono
registrate la presenza o assenza di persone sui vari sedili, l’apertura e
chiusura delle portiere, la regolazione dei sedili e la chiusura delle cinture
di sicurezza. Sorprendentemente, nel campione che ho potuto esaminare mancano
le coordinate GPS.

Comunque sia, con una varietà di dati del genere è possibile ricostruire gli eventi con
grande precisione, istante per istante, documentando quante persone erano a
bordo, a che velocità effettiva stava viaggiando il veicolo in un dato
momento, quando e con che forza è stato premuto il pedale del freno, e così
via, ma è anche possibile ricostruire i comportamenti privati delle persone, attraverso l’analisi dell’apertura delle portiere o della presenza di persone sui vari sedili.

Non c’è scampo, insomma, per chi dice per esempio che non stava correndo
troppo o che era solo in auto quando in realtà superava i limiti di velocità
in complice compagnia. Ma allo stesso tempo c’è un supporto prezioso e
oggettivo per documentare come sono andate realmente le cose in caso di
incidente, come in un
caso recente
avvenuto in Italia proprio con una Tesla, o per qualunque altra
controversia.

Per esempio, la storia delle automobili di quasi tutte le marche è ricca di
casi di
accelerazione improvvisa e incontrollata
dovuti a fattori tecnici in alcuni casi e a fattori umani in altri: avere un
registratore di bordo permette di chiarire una volta per tutte le responsabilità delle
parti.

Questo è l’elenco completo (refusi compresi) dei parametri in un file di
telemetria di Tesla: ho evidenziato alcuni dei più significativi.

  1. VIN

  2. DATE (UTC)

  3. Charge Handle Communication Signal

  4. Charge Cable Connected

  5. Charge Cable Secured

  6. Charge Port Door Button Pressed

  7. Auto Lane Change State

  8. Autosteer Driver Hands On Detection

  9. Autosteer State (Unavailable is recorded when Autosteer is not available,
    SNA is recorded when system state is not available)

  10. Accelerator Pedal Position (%)

  11. Brake Pedal Application

  12. Cruise Control Set Speed (mph / kph)

  13. Cruise Control State

  14. Gear Selection

  15. Vehicle Speed (kph) (Positive is forward direction)

  16. UI Setting – Steering Sensitivity

  17. Primary Steering Angle Sensor (degrees) (Positive indicates right
    turn)

  18. Primary Steering Torque Sensor (Nm) (Positive indicates right turn)

  19. ABS Brake Event

  20. Brake Master Cylinder Pressure (bar)

  21. Brake Pedal Manual Application

  22. Passenger Seat Occupant Classification

  23. Accelerator Pedal Position Maximum – Sensor A (%) (max since previous
    sample)

  24. Frontal Collision Detected

  25. Left-side Collision Detected

  26. Rear Collision Detected

  27. Right-side Collision Detected

  28. Rollover Detected

  29. Deployment Type

  30. Crash Algorithm Wake-Up

  31. Lateral Acceleration (m/s^2)

  32. Longitudinal Acceleration (m/s^2)

  33. Near Deploy Front Collision Detected

  34. Near Deploy Left-side Collision Detected

  35. Near Deploy Rear Collision Detected

  36. Near Deploy Right-side Collision Detected

  37. Near Deploy Rollover Detected

  38. Driver Seat Track Position Status

  39. Passenger Seat Track Position Status

  40. Vehicle Yaw Rate (Positive indicates left turn)

  41. Gear Selector Stalk Status

  42. UI Setting – PIN to Drive

  43. PIN Tto Drive accepted

  44. Requested Charge Current (Amps)

  45. UI Setting – Automatic Emergency Braking

  46. UI Setting – Automatic High Beam

  47. UI Setting – Vehicle Alarm

  48. UI Setting – Automatic High/Low Beams Enabled

  49. UI Setting – Automatic Lane Change

  50. Request Automatic Parking

  51. UI Request – Enable Charging

  52. UI Setting – Door Child Locking

  53. UI Request – close Charge Port Door

  54. UI Setting – Navigate on Autopilot

  55. UI Request – Factory Reset

  56. UI Setting – Forward Collision Warning

  57. UI Setting – Forward Collision Warning Sensitivity

  58. UI Request – Follow Navigate on Autopilot Route

  59. UI Request – Front Trunk Open

  60. UI Setting – Disable Air Conditioning

  61. Air Conditioning – Air Distribution Mode

  62. Air Conditioning – Cabin Blower Setting

  63. Air Conditioning – Cabin Defog Mode

  64. Air Conditioning – Cabin Air Recirculation Mode

  65. Air Conditioning – Rear Cabin Blower Setting

  66. Seating – Left Front Temperature

  67. Seating – Right Front Temperature

  68. Air Conditioning – State

  69. UI Setting – Autosteer

  70. UI Setting – Lane Departure Warning

  71. UI Setting – Headlamps

  72. UI Request – Vehicle Lock/Unlock

  73. UI Setting – Mirror Fold

  74. Navigation Route Active

  75. Navigating to Supercharger

  76. Odometer (Kilometers)

  77. UI Request – Open Charger Port Door

  78. UI Request – Park Brake

  79. UI Setting – Acceleration Mode

  80. Mobile App – Remote Closure Request

  81. Mobile App – Remote Start Request

  82. UI Setting – Headlamps After Exit

  83. Auto Summon Status

  84. UI Setting – Steering Mode

  85. UI Setting – Stopping Mode

  86. Summon State

  87. UI Request – Track Mode

  88. UI Request – Trunk Open/Close

  89. UI Setting – Lane Change Mode

  90. UI Setting – Unlock On Park

  91. Air Conditioning – Left Side, Split/Focus

  92. Air Conditioning – Left Side, Split Percentage

  93. Air Conditioning – Left Side, Vertical Position

  94. Air Conditioning – Left Side, Horizontal Position

  95. Air Conditioning – Right Side, Split/Focus

  96. Air Conditioning – Right Side, Split Percentage

  97. Air Conditioning – Right Side, Vertical Position

  98. Air Conditioning – Right Side, Horizontal Position

  99. UI Setting – Walk Away Door Locking

  100. UI Setting – Winch Mode

  101. UI Request – Wiper Mode

  102. Wiper Speed

  103. Daytime Running Light Status – Left

  104. Daytime Running Light Status – Right

  105. Seat Occupancy Status – Left Side, Front

  106. Front Trunk Access Post Usage

  107. Front Trunk Release – Interior Switch

  108. Front Passenger Present

  109. Cabin Preconditioning Status

  110. Overhead Map Light – Front Left Switch

  111. Overhead Map Light – Front Right Switch

  112. Overhead Map Light – Rear Left Switch

  113. Overhead Map Light – Rear Right Switch

  114. Left Brake Light

  115. Left Rear Window Auto-Down Switch

  116. Left Rear Window Auto-Up Switch

  117. Left Rear Window Down Switch

  118. Left Front Window Auto-Down Switch

  119. Left Rear Window Auto-Down Switch

  120. Right Front Window Auto-Down Switch

  121. Right Rear Window Auto-Down Switch

  122. Left Front Window Auto-Up Switch

  123. Left Rear Window Auto-Up Switch

  124. Right Front Window Auto-Up Switch

  125. Right Rear Window Auto-Up Switch

  126. Left Front Window Down Switch

  127. Left Rear Window Down Switch

  128. Right Front Window Down Switch

  129. Right Rear Window Down Switch

  130. Left Front Window Up Switch

  131. Left Rear Window Up Switch

  132. Right Front Window Up Switch

  133. Right Rear Window Up Switch

  134. Left Rear Window Up Switch

  135. Steering Column Profile Recall

  136. Front Left Seatbelt Buckle Status

  137. Door External Release – Left side, Front

  138. Front Left Seat – Backrest Position

  139. Switch Request – Front Left Seat Backrest Back

  140. Switch Request – Front Left Seat Backrest Forward

  141. Switch Request – Front Left Seat Lift Down

  142. Front Left Seat – Lift Position

  143. Switch Request – Front Left Seat Switch Lift Up

  144. Switch Request – Front Left Seat Switch Lumbar Down

  145. Switch Request – Front Left Seat Switch Lumbar In

  146. Switch Request – Front Left Seat Switch Lumbar Out

  147. Switch Request – Front Left Seat Switch Lumbar Up

  148. Switch Request – Front Left Seat Switch Tilt Down

  149. Front Left Seat – Tilt Position

  150. Switch Request – Front Left Seat Switch Tilt Up

  151. Switch Request – Front Left Seat Track Back

  152. Switch Request – Front Left Seat Track Forward

  153. Front Left Seat – Track Position

  154. Hazard Warning Switch Status

  155. Horn Switch Status

  156. Seat Occupancy Status – Rear, Centre

  157. Rear Air Conditioning Control Switch Status

  158. Door External Release – Left side, Rear

  159. Door Internal Release – Left side, Rear

  160. Seatbelt Buckle Status – Left Side, Rear

  161. Seat Occupancy Status – Left Side, Rear

  162. Seat Occupancy Status – Right Side, Rear

  163. Seat Profile Recall – Left Side, Front

  164. Left Steering Wheel Switch – Pressed

  165. Left Steering Wheel Switch – Scroll

  166. Left Steering Wheel Switch – Tilt Left

  167. Left Steering Wheel Switch – Tilt Right

  168. Right Steering Wheel Switch – Pressed

  169. Right Steering Wheel Switch – Scroll

  170. Right Steering Wheel Switch – Tilt Left

  171. Right Steering Wheel Switch – Tilt Right

  172. Right Brake Light

  173. Right Front Window, Auto-Down Switch

  174. Right Rear Window, Auto-Down Switch

  175. Right Front Window, Auto-Up Switch

  176. Right Rear Window, Auto-Up Switch

  177. Right Front Window, Down Switch

  178. Right Rear Window, Down Switch

  179. Left Front Window, Auto-Down Switch

  180. Left Rear Window, Auto-Down Switch

  181. Right Rear Window, Auto-Down Switch

  182. Left Front Window, Auto-Up Switch

  183. Left Rear Window, Auto-Up Switch

  184. Right Rear Window, Auto-Up Switch

  185. Left Front Window, Down Switch

  186. Left Rear Window, Down Switch

  187. Right Rear Window, Down Switch

  188. Left Front Window, Up Switch

  189. Left Rear Window, Up Switch

  190. Right Rear Window, Up Switch

  191. Right Front Window, Up Switch

  192. Right Rear Window, Up Switch

  193. Seatbelt Buckle Status – Right Side, Front

  194. Door External Release – Right Side, Front

  195. Door Internal Release – Right Side, Front

  196. Front Right Seat – Backrest Position

  197. Switch Request – Front Right Seat Backrest Back

  198. Switch Request – Front Right Seat Backrest Forward

  199. Switch Request – Front Right Seat Lift Down

  200. Front Right Seat – Lift Position

  201. Switch Request – Front Right Seat Switch Lift Up

  202. Switch Request – Front Right Seat Switch Lumbar Down

  203. Switch Request – Front Right Seat Switch Lumbar In

  204. Switch Request – Front Right Seat Switch Lumbar Out

  205. Switch Request – Front Right Seat Switch Lumbar Up

  206. Switch Request – Front Right Seat Switch Tilt Down

  207. Front Right Seat – Tilt Position

  208. Switch Request – Front Right Seat Switch Tilt Up

  209. Switch Request – Front Right Seat Track Back

  210. Switch Request – Front Right Seat Track Forward

  211. Front Right Seat – Track Position

  212. Seatbelt Buckle Status – Centre, Rear

  213. Door External Release – Right Side, Rear

  214. Door Internal Release – Right Side, Rear

  215. Seatbelt Buckle Status – Right, Rear

  216. Seat Profile Recall – Front Right

  217. Bluetooth Device 0 Status

  218. Bluetooth Device 1 Status

  219. Bluetooth Device 2 Status

  220. Bluetooth Device 3 Status

  221. Multiple NFC Cards Detected at Left Pillar

  222. Multiple NFC Cards Detected at Right Pillar

  223. ID of NFC card at Left Reader

  224. ID of NFC card at Right Reader

  225. Multiple NFC Cards Detected at Centre Console

  226. ID of NFC card at Centre Console Reader

  227. Lock/Unlock Authentication from Pillar Reader

  228. Drive Authentication from Centre Console Reader

  229. Identity of the Active Key Device

  230. Vehicle Alarm Status

  231. Vehicle Authentication Status

  232. Charge Port Door Lock Status

  233. Charge Port Door Request

  234. Lock Request Type

  235. Summon Request Status

  236. Trunk Movement Status

  237. Mobile App Request – Left Front Window

  238. Mobile App Request – Left Rear Window

  239. Mobile App Request – Right Front Window

  240. Mobile App Request – Right Rear Window

  241. Mobile App Window Request Type

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.