Interrompo – solo temporaneamente! – la consueta analisi “socio informatica” ormai abituale per Impronta Digitale, perché questa settimana ci sono state tre notizie di cui vale la pena parlare: per l’esattezza tre violazioni (o almeno notizie di violazioni) di dati personali effettuate su Internet.
La prima notizia riguarda qualcosa come 533 milioni di account Facebook liberamente scaricabili sul web. Tra questi ve ne sarebbero circa 36 milioni di italiani: probabilmente tutta la popolazione che ha un account, o quasi. Dalle notizie che si hanno (poche visto che Facebook non si è presa la pena di darci molto peso!), pare che la violazione che ha consentito di costruire questo archivio risalga al settembre 2019, a causa di una falla su un server di profilazione. Falla che Facebook asserisce di aver chiuso subito dopo, ma senza prendersi la pena di avvisare gli utenti il cui account era stato compromesso. Tra i dati, oltre al nominativo e l’indirizzo mail, vi sarebbero alcune informazioni personali tra cui il numero di telefono (richiesto per l’autenticazione in due passaggi o come numero di recupero in caso di password dimenticata). Non è invece chiaro se vi siano anche le password.
Subito dopo, martedì alla riapertura delle scuole, si apprende che un server di Axios – società che fornisce i registri elettronici al 40% delle scuole italiane – è stato preso di mira dagli hacker attraverso l’utilizzo di un ransomware, ovvero di un virus informatico che rende inaccessibili i dati e per ripristinarli chiede il pagamento di un riscatto. In questo caso non si sa se prima della cifratura il ransomware abbia provveduto a fornire i dati ai suoi autori. L’azienda dice che gli accertamenti svolti finora non hanno evidenziato accessi ai dati, ma…
Terza notizia oggi (9 aprile): nel dark web siano in vendita (per 1.800 dollari) i dati di circa 500 milioni di account di LinkedIn, tra i quali circa 21 milioni di italiani. In questo caso la costituzione dell’archivio sembrerebbe essere impropria ma non illegale. Nel senso che non è collegata ad un evento di violazione di server, ma ad una raccolta effettuata con strumenti informatici di dati che sono pubblici: indirizzo mail, nominativo, collegamenti, connessioni ad altre piattaforme, che chiunque può vedere guardando un profilo utente. Tale raccolta violerebbe i termini del contratto LinkedIn, ma non sarebbe configurabile come reato. Ovviamente lo sarebbe usare questi dati, visto che nessuno degli utenti coinvolti ha dato il consenso ad utilizzi diversi dalla gestione del proprio profilo sulla piattaforma.
Se volete sapere se il vostro indirizzo (o i vostri) è compreso in qualcuno di questi elenchi – quantomeno di quelli noti, ovviamente! – il metodo migliore è usare have i been pwned? Che è un servizio gratuito (ma si può fare una donazione: abitudine che noi italiani non abbiamo!) dove inserendo il proprio indirizzo questo viene cercato in tutti gli archivi clandestini noti. La risposta è solo si o no, ma nel caso di risposta positiva è bene prendere dei provvedimenti e prestare particolare attenzione. Vediamo perché.
- Usi la stessa password ovunque oppure una password diversa ad ogni registrazione?
La maggior parte degli utenti usa (più o meno) la stessa password ovunque: così non me la dimentico!
Questo significa che la prima cosa che fanno gli hacker che vengono in possesso di mail e password è provare (molto velocemente: usano software che lo fa) ad utilizzarli ovunque, prima di tutto naturalmente sul server di posta, ma poi altrove. Se poi hanno informazioni sulle piattaforme usate la testeranno li.
- Usi password sufficientemente complesse (es. Ar;43XxXw:15dswa!) oppure cose tipo PW1234?
Se anche non conoscono la password proveranno, sempre attraverso software che lo fanno automaticamente, ad accedere al tuo account usando le password più comunemente usate. Ne esiste un “registro” da cui risulta che le tre più comuni in assoluto siano “123456”, “password” e “qwerty”. Se siete tra i molti utilizzatori di cose così (ma anche la vostra data di nascita, codice fiscale, oppure un nome proprio…) perdete questa abitudine!
Per avere password sufficientemente forti o usate una vostra regola apparentemente assurda (tipo la Vispa Teresa con una minuscola ed una maiuscola alternate ed una cifra crescente ogni tot lettere) che poi però dovrete ricordare. In alternativa io personalmente uso un registro password: una raccolta di file di testo (o un unico file) nel quale segno piattaforma, account e password. Terza alternativa sono i software appositi che suggeriscono password casuali complesse e le memorizzano per voi fornendovele automaticamente quando vi connettete al servizio corrispondente.
Attenzione a due cose però! Intanto se cambiate computer e/o telefono ricordatevi che dovete portarvele dietro. Inoltre, se usate software: siate certi che sia ufficiale e ben protetto!!! Mai scaricare software di dubbia provenienza.
- Se ricevete una mail o un messaggio WhatsApp da un conoscente con un link andate subito a vederlo?
Spero di no… Ma se la risposta è si si tratta di un’altra abitudine da perdere! Chi riesce a penetrare un account di posta (o un numero di telefono: vedi la notizia su Facebook sopra), lo utilizzerà prevalentemente per campagne di fishing: scrivendo a tutti i contatti dell’account violato ed invitandoli a scaricare un bel software malevolo che li metta a loro volta a sua disposizione.
Prova ne sia che la quarta notizia del giorno è relativa all’ultima minaccia che circola. E’ un malware travestito da Netflix che colpisce gli smartphone Android. Promette 2 mesi gratis alla nota piattaforma ma è una trappola. Si presenta sotto forma di app di Netflix su Google Play Store. Nel momento in cui l’utente scarica l’app per usufruire dei 2 mesi di prova gratuita il malware si installa nello smartphone rubando dati e credenziali. Fatto questo riesce anche a prendere possesso di WhatsApp e a inviare messaggi per conto delle vittime, contenenti un link che bisogna seguire per usufruire dei 2 mesi gratuiti di Netflix Premium….
E dalla prossima puntata torniamo alla nostra abituale analisi dell’Impronta Digitale. A presto!