Vai al contenuto

Sottratti e messi in vendita i dati di vaccinazione Covid di 7,4 milioni di italiani? Il punto della situazione

Pubblicazione iniziale: 2021/06/12 16:59. Ultimo
aggiornamento: 2021/06/14 10:00.

Stamattina (12/6) è comparso su Twitter un avviso che dice che qualcuno ha
postato su un forum sul deep Web un annuncio che offre (a suo dire) i dati di
vaccinazione Covid di 7,4 milioni di italiani.

So di che forum si tratta, ma non credo che sia opportuno divulgare qui questo
dato. Mi limito a precisare che deep Web non è il dark Web che
piace tanto ai giornalisti sensazionalisti: è semplicemente la parte di
Internet che i motori di ricerca non indicizzano, ed è liberamente
consultabile con un comune browser (non occorre Tor, insomma).

La persona che afferma di avere questi dati ha pubblicato sul forum in
questione un campione dei dati a riprova di quello che dice, precisando che la
versione completa include delle password (circa cinque milioni e mezzo) e che
il dataset è in vendita a un prezzo imprecisato. 

I campi pubblicati finora nel campione sono i seguenti:

  • mail
  • nome
  • ruolo (sempre blank)
  • cognome
  • data_nascita
  • gia_positivo (sempre blank)
  • verificato_2 (yes/no)
  • codice_fiscale
  • tel cellulare

In un altro campione i campi sono invece:

  • anno (quasi sempre 2021)
  • mese (sempre 2)
  • nome
  • email
  • giorno (valore numerico a una o due cifre)
  • status (valori Iscritto o Trasferimento in ingresso)
  • cognome
  • altre_asl
  • privacy_1
  • privacy_2
  • verificato
  • data_nascita
  • verificato_2
  • cap_domicilio
  • cap_residenza
  • codice_fiscale

David Puente su Open
fornisce ulteriori dettagli e sospetta che si tratti di una truffa, nel senso
che i dati non sarebbero privati ma sarebbero in realtà pubblici e di una
categoria ben specifica (i record esaminati da Puente riguardano
“medici, psicologi e psicoterapeuti del Sud Italia”). Anche
ItalianTech
ha pubblicato una prima analisi del campione reso pubblico, che conferma
l’appartenenza dei dati a operatori sanitari, e ha successivamente contattato l’autore dell’annuncio, che dice di aver messo in vendita i dati a 5000 dollari e non ha parole gentili per la competenza tecnica dei gestori dei siti dai quali ha estratto i dati.

Secondo una fonte riservata che conosce direttamente i dati, almeno parte del
campione proverrebbe dal database della web app di vaccinazione della Regione
Campania. Alcune delle persone sarebbero operatori sanitari perché i primi ad
essere vaccinati sono stati appunto questi operatori. Un primo riscontro
sembra confermare che almeno una parte dei dati messi in vendita corrisponde
esattamente al contenuto del database campano.

Sono in contatto con l’autore dell’annuncio, che dichiara che si tratta di
un’aggregazione di vari database provenienti da fonti differenti (circa 150, secondo le informazioni raccolte da Matteo Flora). A suo dire
le password sono in parte in chiaro e per la maggior parte hashed.

Insomma, ci sono dubbi sull’autenticità dell’offerta. Non va dimenticato che
si tratta di un’offerta fatta da una persona che si presenta come criminale
informatico e che quindi ha ogni incentivo per mentire o confondere la
situazione in modo da ottenere la massima monetizzazione delle proprie
attività. 

Questo è quello che so e che posso pubblicare al momento.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
SwissCovid avrà nuove funzioni: altro test pubblico di sicurezza

SwissCovid avrà nuove funzioni: altro test pubblico di sicurezza

Stamattina l’Ufficio federale della sanità pubblica svizzero ha annunciato
l‘avvio di un test pubblico di sicurezza per SwissCovid, l’app di tracciamento
di prossimità finora usata per consentire di allertare anonimamente chi è stato
vicino a una persona risultata poi positiva.

Il tweet è piuttosto ermetico: che cos’è la “funzione check-in”? E
perché viene aggiunta a SwissCovid? Sono sempre un po’ sospettoso quando vedo
aggiunte di questo genere, perché temo il classico feature creep che ha
spesso conseguenze impreviste.

Questo è quello che ho trovato finora: l’annuncio
del Centro Nazionale di Cibersicurezza dice che

Tra breve l’app SwissCovid sarà completata con l’applicazione
«NotifyMe», che potrà essere impiegata nel quadro di eventi e riunioni.
Il codice sorgente di SwissCovid verrà pertanto ampliato. 

e linka delle
FAQ
che citano
CrowdNotifier (altre info qui), che
parlano di un tracciamento di presenza (non più di prossimità) sicuro, decentrato e protettivo della privacy, allo scopo di  (traduco) “semplificare e accelerare il processo di notifica delle persone che hanno condiviso un luogo semipubblico con una persona positiva alla SARS-CoV-2 per un tempo prolungato, senza introdurre nuovi rischi per gli utenti e i luoghi.”

La documentazione di Crowd Notifier prosegue dicendo che (traduco) “i sistemi esistenti di tracciamento di prossimità (app di tracciamento dei contatti come SwissCovid, Corona Warn App e Immuni) notificano soltanto un sottoinsieme di queste persone: quelle che sono state abbastanza vicine per abbastanza tempo. Gli eventi attuali hanno reso evidente la necessità di notificare tutte le persone che hanno condiviso uno spazio con una persona positiva alla SARS-CoV-2.”

Sembra insomma che si voglia introdurre in SwissCovid una nuova funzione che generi una notifica semplicemente quando si va in un luogo affollato nel quale risulta poi che c’era qualche persona positiva al Covid, anche se non si è stati vicini alla persona per periodi prolungati.

A giudicare dagli schemi pubblicati, che vedete in testa a questo articolo, ci sono dei codici QR che vengono generati dal proprietario del luogo (o locale) e vengono scansionati dai visitatori.

Si tratta di una proposta, per ora, e il suo scopo è (traduco) “fornire un’alternativa al crescente uso di app con intenzioni analoghe che sono basate su una raccolta invasiva o che si prestano ad abusi da parte delle autorità.”

La questione è aperta e delicata: le app di questo genere consentono, se realizzate male, tracciamenti di massa decisamente inaccettabili. Se ci saranno novità, le segnalerò qui. Se scoprite qualcosa, i commenti sono come sempre a vostra disposizione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
WhatsApp cambia le regole: niente panico, specialmente se siete nella regione europea

WhatsApp cambia le regole: niente panico, specialmente se siete nella regione europea

Ultimo aggiornamento: 2021/05/15 15:35.

Siete agitati e ansiosi perché avete letto che WhatsApp il 15 maggio cambierà le proprie regole? Rilassatevi. Soprattutto se risiedete nella “regione europea” (che WhatsApp definisce qui e include la Svizzera), i cambiamenti sono minimi.

Per chi risiede in questa regione, valgono questi nuovi termini di servizio e vale questa informativa sulla privacy (entrambi sono disponibili in italiano e varie altre lingue); per chi sta altrove, invece, valgono questi termini e questa informativa. Colgo l’occasione per ricordare che nella regione europea il limite minimo di età per iscriversi è 16 anni ma 13 nel resto del mondo.

Nella regione europea, accettare i nuovi termini e la nuova informativa
significa in sostanza che WhatsApp continuerà a non poter usare i dati che raccoglie
per aiutare gli inserzionisti a mostrare annunci su Facebook (WhatsApp,
insieme a Instagram, fa parte del gruppo delle aziende di Facebook): “Accettare i nuovi Termini di servizio non accresce la capacità di WhatsApp di condividere i dati degli utenti con la società madre, Facebook”, dice questa FAQ di WhatsApp.

Al
di fuori della regione europea potrà invece usare questi dati, soprattutto per il
servizio WhatsApp Business, come spiegato in questa pagina informativa. Le novità, infatti, riguardano soprattutto lo scambio facoltativo di messaggi con aziende che usano WhatsApp.

Se non accettate i nuovi termini (che inizialmente dovevano entrare in vigore l’8 febbraio ma sono stati posticipati al 15 maggio), il vostro account non verrà disabilitato o limitato immediatamente: ci sarà invece una riduzione graduale delle funzioni. Dopo alcune settimane potrete solo leggere e rispondere alle chat e ricevere chiamate ma non potrete avviare nuove conversazioni. Solo dopo altre settimane verrà tutto bloccato e sarete quindi considerati inattivi. 

In teoria, dopo 120 giorni di inattività, secondo le regole preesistenti di WhatsApp gli account inattivi vengono eliminati e quindi dovrebbe essere eliminato anche il vostro, se non avete accettato i termini nel frattempo. 

Restano invariate le altre regole: WhatsApp continuerà a non poter leggere il contenuto dei messaggi o ascoltare le chiamate e non condividerà i contatti con Facebook. WhatsApp ha pubblicato una pagina informativa di risposta alle domande più frequenti. Ma i garanti europei non sono soddisfatti e chiedono maggiore chiarezza e trasparenza.

 

Fonti aggiuntive: RSI, Cybersecurity360.it (anche qui), Gizmodo (anche e soprattutto qui), The Verge, Engadget.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Quanto è difficile trovare scansioni di documenti d’identità online? Non molto. Le offre il governo italiano

Quanto è difficile trovare scansioni di documenti d’identità online? Non molto. Le offre il governo italiano

Ultimo aggiornamento: 2021/05/17 08:40.

Un altro giorno, un’altra collezione di scansioni di documenti d’identità
lasciata online, accessibile a chiunque sappia usare Google. Non occorre
conoscere password o altro: basta un banalissimo googledork. Il tweet
qui accanto contiene tutto quello che serve sapere per trovare questi
documenti.

Come è possibile? Molti documenti della pubblica amministrazione italiana
hanno in allegato una scansione della carta d’identità: ho trovato
registrazioni di liquidazioni di prestazioni, lettere commerciali di
affidamento lavori, persino una raccomandata spedita via PEC (ironicamente),
tutte con la loro brava scansione a colori, nitidissima, di un documento
d’identità, usata come “firma digitale”.

Nomi, cognomi, indirizzi, fotografie, estremi dei documenti, dettagli dei
pagamenti effettuati o richiesti, codici IBAN, tutti lasciati online.

Chi è l’irresponsabile che ha messo tutti questi documenti in bella mostra su
Internet? Il Ministero delle Infrastrutture e dei Trasporti.

A quanto pare chi ha progettato il sito non ha considerato che esiste Google,
e che quindi se un file è accessibile senza dover fare login e digitare una
password Google lo troverà e lo indicizzerà, permettendo a chiunque di
trovarlo. In questo caso i file sono accessibili perché hanno un URL pubblico
del tipo

http://trasparenza.mit.gov.it/moduli/downloadFile.php?file%5Bstringa%5D/%5Bnome
file PDF]

Ho sfuocato io le immagini; gli originali online sono perfettamente leggibili.

Disastri di privacy come questo sono frequentissimi e sono ovviamente una
miniera d’oro per qualunque malintenzionato che voglia procurarsi una
scansione di un documento identificativo di qualcuno per impersonarlo,
specialmente ora che la scansione viene considerata equivalente a una firma.

La prossima volta che qualcuno propone di depositare online una copia dei
documenti d’identità, magari affidandola ai social network, allo scopo di
obbligare tutti a identificarsi sui social e quindi proteggersi dai bulli, dai
molestatori e dagli odiatori, ricordate questo caso. 

Questa è la pubblica amministrazione di uno stato, che ha degli obblighi di
legge, e li ha verso i propri cittadini. Figuratevi come può tutelare i vostri
documenti personali un’azienda che ha la sede principale all’estero, risponde
soltanto alle leggi del suo paese (forse), al posto dei cittadini ha degli
utenti e ha come esplicito scopo commerciale la vendita dei dati dei propri
utenti.

Aggiornamento (2021/05/14 00:10). Se qualcuno avesse in mente di
obiettare
“ma tanto non se ne fanno nulla di queste scansioni di documenti
d’identità, a chi vuoi che interessino”, questo è l’annuncio pubblicato oggi su un noto forum di compravendita di
dati trafugati: vengono offerti dieci euro per ogni carta d’identità.

Aggiornamento (2021/05/17 08:40). Di questo caso e di altri analoghi si sono occupati Matteo Flora e Guido Scorza in una puntata di Garantismi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Alexa, riconoscimento vocale offline in arrivo

Alexa, riconoscimento vocale offline in arrivo

Mentre mancano prove di un ascolto generalizzato delle nostre conversazioni da parte degli smartphone, sappiamo invece con certezza che parte delle nostre conversazioni viene carpita dagli assistenti vocali, come Alexa, Cortana, Siri o l’Assistente Google. 

Il funzionamento di questi assistenti vocali, infatti, prevede esplicitamente che vengano registrati e trasmessi alle rispettive case produttrici tutti i suoni ambientali captati dai loro microfoni appena prima e appena dopo che è stata pronunciata la wake word o parola di attivazione (“Alexa” o “OK, Google”, eccetera): i comandi, infatti, vengono interpretati dai computer remoti di queste case produttrici, non dal dispositivo locale.

A volte questi assistenti credono di aver sentito la wake word quando in realtà è stato detto qualcos’altro e quindi può capitare che prendano degli spezzoni di conversazione privata e li mandino a Google, Amazon, Microsoft o Apple, dove possono essere archiviati e ascoltati da alcuni dipendenti di queste aziende (se la cosa non vi piace, potete chiedere l’eliminazione delle registrazioni). Ma a parte questi incidenti, non effettuano intercettazioni generalizzate e di massa.

Anche così, comprensibilmente molti utenti non vogliono correre il rischio di avere orecchie indiscrete in casa, per esempio nei momenti intimi o durante incontri professionali confidenziali, per cui rifiutano di installare Alexa e simili in casa o in ufficio. 

Però un assistente vocale è spesso molto comodo. I problemi di riservatezza e sorveglianza sparirebbero ce ne fosse uno che fa il riconoscimento vocale in locale, senza mandare spezzoni della nostra voce a nessuno e cancellandoli automaticamente dal dispositivo dopo che sono stati usati. Amazon ha presentato proprio questa possibilità pochi giorni fa: sarà disponibile “prossimamente”, perlomeno per gli utenti statunitensi (video, a 00:4:50).

Purtroppo questa opzione riguarda soltanto i dispositivi più recenti di Amazon, dotati di processore AZ1 Neural Edge e quindi è disponibile soltanto sugli Echo di quarta generazione, sull’Echo Show 10 e sui dispositivi futuri. Non sarà disponibile sui dispositivi precedenti.

È comunque un buon segno: la privacy aumenta e in più i tempi di risposta diventano più brevi grazie al fatto che il riconoscimento dei comandi avviene localmente invece di dover registrare la voce e mandarla via Internet a computer remoti che poi restituiscono l’azione corrispondente.

Fonti aggiuntive: The Verge, Engadget.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Funzionano i filtri antipubblicità? Stando alle preoccupazioni di Facebook, pare di sì

Funzionano i filtri antipubblicità? Stando alle preoccupazioni di Facebook, pare di sì

Gli adblocker e le versioni più recenti dei sistemi operativi per
smartphone, tablet e computer bloccano o perlomeno riducono fortemente il
tracciamento pubblicitario, ossia la raccolta invisibile di informazioni sui
nostri gusti, sulle nostre letture e i nostri acquisti che avviene quando
sfogliamo Internet e in particolare quando usiamo i social network.

Persino gli esperti di sicurezza dell’NSA e della CIA — gente che di
sorveglianza se ne intende un tantino —
raccomandano
(PDF) di
bloccare
le pubblicità potenzialmente ostili perché
“nonostante la natura benigna della maggior parte del contenuto
pubblicitario, la pubblicità è un noto vettore di distribuzione di malware
da oltre un decennio” e la CISA (Cybersecurity and Infrastructure Security Agency)
consiglia
di
“usare software di ad blocking sia per proteggersi contro le pubblicità
ostili, sia contro la raccolta di dati da parte di terzi.”

Ma il dubbio rimane: sono davvero efficaci queste misure? Parrebbe di sì, a
giudicare dai toni e dai contenuti di un annuncio pubblicato su Facebook da
Graham Mudd, vicepresidente del product marketing del social network,
segnalato da
Gizmodo

Mudd si rivolge ai clienti di Facebook, le aziende che pagano le inserzioni
pubblicitarie sul social network, e dice che
“ci aspettavamo che i venti contrari più forti derivanti dai cambiamenti
delle piattaforme, in particolare i recenti aggiornamenti di iOS, avrebbero
avuto un impatto maggiore nel terzo trimestre che nel secondo”
e che Facebook ha saputo che
“l’impatto sul vostro investimento pubblicitario è stato maggiore di quello
che avevate previsto.”

Il VP di Facebook, insomma, cita esplicitamente iOS come fattore di questo
impatto. Aggiunge poi un dato significativo: Facebook ammette di non poter
rendicontare circa il 15% delle conversion, ossia degli scaricamenti di
app o dei clic sulle pubblicità mostrate ai propri utenti. 

È un cambiamento di rotta non da poco, considerata la passata riluttanza di
Facebook a rendere pubblici, o almeno
controllabili indipendentemente, i risultati delle sue campagne pubblicitarie, e la sua documentata tendenza
a gonfiare quei risultati rispetto alla realtà.

Le tecniche anti-tracciamento, insomma, qualcosa fanno. Più gente le usa, più
fanno.

 

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iOS 15, nuove impostazioni salvaprivacy

iOS 15, nuove impostazioni salvaprivacy

Wired UK ha pubblicato un elenco delle impostazioni di protezione della privacy, particolarmente efficaci contro il tracciamento pubblicitario, presenti in iOS 15. Cito qui brevemente le principali:

  • In Impostazioni – Mail – Protezione della privacy, controllate che sia attiva l’opzione Proteggi le attività di Mail.
    Questo riduce il tracciamento pubblicitario, impedendo ai mittenti
    delle mail di vedere il vostro indirizzo IP e di sapere quando aprite il
    loro messaggio.
  • Per contrastare il tracciamento pubblicitario potete inoltre andare in Impostazioni – Safari – Nascondi indirizzo IP – Ai tracker.
  • Un’altra
    funzione salvaprivacy molto consigliabile di iOS 15 è l’analisi di cosa
    fanno le app con i sensori dello smartphone, per esempio per sapere
    quali hanno accesso al microfono o alla localizzazione: si va in Impostazioni – Privacy – Registra attività app. Questo genererà un riepilogo di sette giorni. Se volete levarvi il dubbio, una volta per tutte, che il vostro telefonino ascolti le vostre conversazioni, questo è un buon punto di partenza.
  • Un altro modo, più immediato ma un pochino più laborioso, per sapere quali app hanno accesso a microfono, fotocamera o localizzazione è andare in Impostazioni – Privacy e poi scegliere Localizzazione oppure Fotocamera oppure ancora Microfono.
  • Se invece volete sapere quali app tracciano la vostra attività quando usate altre app o visitate determinati siti, andate in Impostazioni – Privacy – Tracciamento e assicuratevi che sia attiva l’opzione Richiesta tracciamento attività. In questo modo le app dovranno chiedervi esplicitamente il permesso di tracciarvi e verranno visualizzate. Se disattivate quest’opzione, invece, le app verranno bloccate automaticamente (“Quando l’opzione è disattivata, tutte le nuove richieste di tracciamento da parte delle app verranno automaticamente rifiutate”), dandovi meno controllo e informazioni.

Funzionano davvero queste misure salvaprivacy? A giudicare dalla preoccupazione espressa da Facebook, parrebbe proprio di sì.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
ProtonMail non è così riservato come sembrava

ProtonMail non è così riservato come sembrava

Protonmail è un servizio svizzero di e-mail molto conosciuto, che ha la fama di proteggere le identità dei suoi utenti e la segretezza delle loro comunicazioni. Forse avete notato un esempio di questa fama nel più recente Delirio del Giorno, in cui un mio hater ha pensato di rendersi anonimo usando appunto Protonmail. Ma un suo utente è stato identificato e poi arrestato dalla polizia francese. Come è possibile?

Le promesse di privacy di Protonmail sono molto forti: il servizio dichiara di non raccogliere dati degli utenti e di usare la crittografia end-to-end. O meglio, dichiarava. A gennaio 2021, infatti, Protonmail scriveva sulla propria pagina iniziale: “Non sono necessarie informazioni personali per creare il tuo account di mail sicuro. Per impostazione predefinita, non conserviamo log IP che possono essere collegati al tuo account di mail anonimo.” In originale: “No personal information is required to create your secure email account.
By default, we do not keep any IP logs which can be linked to your
anonymous email account.”

Ma oggi e da pochi giorni al posto di questa dichiarazione ce n‘è un’altra di tono ben più blando e vago: “Protonmail è mail che rispetta la privacy e mette al primo posto le persone (non i pubblicitari). I tuoi dati appartengono a te, e la nostra crittografia lo garantisce. Forniamo anche un gateway per la mail anonima.” In originale: “ProtonMail is email that respects privacy and puts people (not
advertisers) first. Your data belongs to you, and our encryption ensures
that. We also provide an anonymous email gateway.”

È infatti emerso che Protonmail ha risposto a una richiesta legale vincolante dei Dipartimento federale di giustizia e polizia di fornire alla polizia svizzera l’indirizzo IP di un utente e i dettagli dei dispositivi usati da quell’utente per accedere a quella casella di mail. Questi dati hanno consentito l’identificazione dell’utente e il suo successivo arresto.

La polizia svizzera ha eseguito un mandato ottenuto dalle autorità francesi, che tramite lnterpol l’hanno trasmesso ai colleghi svizzeri. La persona coinvolta è legata a un gruppo denominato Youth for Climate, secondo quanto segnalato da Secoursrouge.org e da Andy Yen di Protonmail. 

Yen ha anche pubblicato su Reddit una dichiarazione sulla vicenda che fornisce ulteriori dettagli, e Protonmail ha anche diffuso un lungo approfondimento specifico sul proprio sito, dal quale cito questa precisazione: “… secondo la legge svizzera, Proton può essere obbligata a raccogliere informazioni su account appartenenti a utenti che sono oggetto di un’indagine penale svizzera. Questo ovviamente non viene fatto di default, ma soltanto se Proton riceve un ordine legale per un account specifico.”

Dal punto di vista tecnico generale, va ricordato che la cifratura end-to-end protegge il contenuto dei messaggi, ma non nasconde la loro origine. In condizioni normali, l’indirizzo IP dal quale l’utente si collega a Protonmail, per esempio, è sufficiente a rintracciarlo e identificarlo. Anche il tipo di browser usato per l’accesso lascia tracce usabili per fare fingerprinting: marca, versione, lingua utilizzata e altro ancora. Chi ha queste esigenze deve ricorrere a soluzioni che mascherino questi dati.

L’informativa sulla privacy di Protonmail, aggiornata pochi giorni fa, dice ora chiaramente che in caso di violazione della legge svizzera Protonmail può essere obbligata a monitorare o registrare l’indirizzo IP di una persona coinvolta in un’indagine penale svizzera.

In altre parole: se per caso pensavate di poter usare Protonmail in modo assolutamente anonimo semplicemente aprendo un account, tenete presente che non è affatto così semplice.

Fonte aggiuntiva: The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Finalmente backup cifrati per WhatsApp

Finalmente backup cifrati per WhatsApp

WhatsApp sta chiudendo una lacuna di sicurezza importante e spesso trascurata:
le comunicazioni fatte con questo sistema di messaggistica, che è di proprietà di
Facebook, sono protette contro le intercettazioni abusive dalla
crittografia end-to-end, ma i backup di queste comunicazioni non
lo sono affatto.

Questo consente di recuperare le comunicazioni se si riesce a mettere le mani
su uno di questi backup, salvati per esempio su Google Drive per i dispositivi
Android o su iCloud per i dispositivi Apple. Se qualcuno vi ruba le password
dell’account Google o iCloud, ha accesso a tutto quello che avete scritto su
WhatsApp, se l’avete salvato in questi backup in cloud, come WhatsApp
chiede insistentemente di fare.

La settimana scorsa Mark Zuckerberg ha
annunciato
su Facebook che gli utenti prossimamente potranno scegliere di crittografare
anche questi backup. Ha anche precisato che Facebook ha pubblicato un
white paper, un documento tecnico intitolato
Security of End-To-End Encrypted Backups, che descrive dettagliatamente come è stata realizzata questa funzione.

Cybersecurity360
spiega (in italiano) il funzionamento di questi backup cifrati: WhatsApp
chiederà di
“salvare una chiave di crittografia a 64 bit o di creare una password
associata alla chiave”. La chiave verrà memorizzata
“in un modulo fisico di sicurezza hardware (HSM, Hardware Security Module)
che agisce come una cassetta di sicurezza e può essere sbloccato solo
utilizzando la password corretta. WhatsApp sa solo che esiste una chiave in
un HSM, non la chiave stessa o la password associata per sbloccarla.”

The Register
nota che non è la prima volta che WhatsApp offre crittografia dei backup: lo
aveva già fatto anni fa per i backup su iCloud, ma il metodo usato aveva un
difetto
che lo rendeva attaccabile usando una SIM avente lo stesso numero di quella
della vittima.

Vedremo come andranno le cose questa volta, ma bisogna ricordare che ogni
comunicazione ha almeno due partecipanti, e questo vuol dire che voi potete
essere diligentissimi nella protezione dei vostri messaggi, ma se uno solo dei
vostri interlocutori non è altrettanto diligente, è tutto inutile e i messaggi
saranno comunque accessibili a un aggressore sufficientemente deciso. La cosa
più semplice, in molti, casi, è semplicemente non avere backup di messaggi.
Meglio ancora, non usare queste applicazioni per comunicazioni riservate.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Avete il “green pass”? Non postate il suo codice QR sui social network

Ultimo aggiornamento: 2021/06/29 13:30. 

Da qualche giorno parecchie persone hanno cominciato a festeggiare l’arrivo
dei certificati Covid digitali, quelli dotati di codice QR, pubblicandone le
immagini sui social network. È una pessima idea, come dice bene l’avvocato
Guido Scorza,
componente del Garante della Privacy italiano.

Come al solito, in questi casi arrivano le obiezioni: ma tanto il certificato
contiene solo il nome e il cognome e la data di nascita (non è vero), ma cosa
vuoi che se ne facciano dei miei dati, eccetera eccetera.

Chiarisco come stanno realmente le cose: il Garante della Privacy italiano ha
tweetato che

Sempre l’avvocato Scorza
scrive
su Agendadigitale.eu che il codice QR
“è una miniera di dati personali invisibili a occhio nudo ma leggibili da
chiunque avesse voglia di farsi i fatti nostri….Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il
tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un
tampone, quando e il suo esito e tanto di più.”

Infatti è vero che l’app usata dai verificatori (Covid Check per
Android
e
iOS
in Svizzera; VerificaC19 per
iOS e
Android
in Italia) visualizza soltanto nome, cognome e data di nascita, ma il codice
QR contiene molte più informazioni, che possono essere lette prendendole dalle
foto postate sui social network e usando appositi programmi di analisi, che
sono
già in circolazione e
sono facili da realizzare, visto che le
specifiche
del contenuto dei codici QR sono ovviamente e necessariamente pubbliche e il
codice sorgente delle app di verifica
è altrettanto necessariamente aperto. Questo contenuto è
descritto in dettaglio su Dday.it.

Pubblicare queste foto sui social consente ai malintenzionati di fare raccolta
di massa di dati sanitari. Come spiega Guido Scorza, questi dati consentono di
“desumere che la persona ha patologie incompatibili con la vaccinazione o è
contraria al vaccino. E di qui negare impieghi stagionali, tenere lontani da
un certo luogo, insomma per varie forme di discriminazione. O anche per fare
truffe mirate o per fare profilazione commerciale. Immaginiamo la
possibilità che questi dati finiscano in un database venduto e
vendibile.”

Immaginate, giusto per fare il primo esempio che mi viene in mente, un
truffatore che vi telefona a casa e si spaccia per un operatore sanitario e si
rende credibile recitandovi il vostro nome e cognome, la data di nascita e
quando avete fatto la vaccinazione e con quale vaccino. A quel punto
probabilmente vi fiderete di qualunque cosa vi chieda di fare. Pensate anche
ai vostri familiari o genitori, che magari non sono smaliziati quanto voi.

—-

2021/06/29 13.30: Full Fact segnala un esempio di come i malviventi possono sfruttare la situazione: nel Regno Unito alcuni truffatori chiedono via mail soldi per ottenere il certificato Covid, che è invece gratuito.

—-

Non solo:
“questa prassi potrebbe facilitare la circolazione di QR-Code falsi che
frustrerebbero l’obiettivo circolazione sicura perseguito con i green
pass.”

Insomma, le aziende che sviluppano i software sanitari e queste app anti-Covid
si fanno in quattro per rispettare tutte le normative e proteggere i dati
degli utenti, e tutto questo lavoro rischia di essere stato fatto invano
perché sono gli utenti stessi a spiattellare i propri dati su Internet.

Avete ricevuto il “green pass”? Buon per voi. Ditelo e basta; non c’è bisogno
di postare una foto. Ci crediamo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.