Questo articolo è disponibile anche in versione podcast audio.

Il 19 ottobre scorso Microsoft ha annunciato che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati resi pubblicamente accessibili via Internet a causa di un suo errore di configurazione. I dati includono dettagli delle strutture aziendali, le fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua segnalazione da parte della società di sicurezza informatica SOCRadar il 24 settembre scorso, ma alcuni esperti non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come Grayhat Warfare e come avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati hanno avuto il tempo di procurarsene una copia.

The Microsoft bucket has been publicly indexed for months, it's called olyympusv2 hosted on Azure blob storage - it was publicly readable. It's even in search engines.https://t.co/5iBIb2qvue pic.twitter.com/5zjC0IC4wh

— Kevin Beaumont (@GossiTheDog) October 20, 2022

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google, che hanno malconfigurato vari server contenenti dati sensibili dei propri clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome di dominio nella casella di ricerca, e ha dato alla vicenda il nome BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123 paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente utilizzati dai criminali online per ricatti ed estorsioni o per carpire illecitamente la fiducia dei dipendenti di un’azienda presa di mira manifestando di conoscere informazioni aziendali riservate, ma vengono anche a volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso di ignorare segnalazioni di cloud colabrodo come questa. 

---

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

I found another of the MSFT Bluebleed buckets, with the SQL databases. Contains databases Datastore, WMIDataStore, Olympusv2Backup and Datawarehouse_backup - has been kicking around for some time. pic.twitter.com/s35dN0C7Sg

— Kevin Beaumont (@GossiTheDog) October 26, 2022

 

Fonte aggiuntiva: Bleeping Computer, Graham Cluley.

Questo articolo è disponibile anche in versione podcast.

Con tutti questi malware in giro, c’è quasi da dire le preghiere ogni volta che si sta per aprire un allegato. Il guaio è che in informatica anche la preghiera può nascondere un raggiro.

Lo sa bene Patricia Collinson, una devota ottantasettenne che vive a Hastings, nel Regno Unito, e si è trovata involontariamente al centro di un inganno informatico decisamente insolito. La figlia le ha regalato un assistente vocale, un altoparlante Alexa di Amazon, e la signora ha iniziato a usarlo con entusiasmo, soprattutto quando ha scoperto che poteva chiedere ad Alexa, semplicemente parlando, di recitare una preghiera con lei, specificamente l’Ave Maria.

Quasi tutte le mattine la signora Collinson si sedeva in poltrona e parlava ad Alexa come se fosse una persona, dicendole “Buongiorno Alexa, puoi recitare per favore l’Ave Maria?”, e Alexa eseguiva prontamente la richiesta.

Ma l’entusiasmo della signora è passato ben presto quando si è accorta, grazie alla figlia, che la solerte Alexa recitava l’Ave Maria solo per soldi. Infatti la signora, senza rendersene conto, si era abbonata a un servizio a pagamento semplicemente parlando ad Alexa.

La figlia, alla quale era intestato l’account di Alexa, se ne è accorta quando ha ricevuto una mail dalla ditta statunitense Catholic Prayers che la informava dell’attivazione di un abbonamento a pagamento sull’Alexa che lei aveva regalato alla madre. Due sterline al mese, quindi non certo un salasso, ma restava il problema che la signora Collinson aveva attivato un contratto di addebito permanente a un servizio semplicemente con la voce, senza nessuna delle normali conferme visive o cartacee che esistono negli acquisti normali.

Questa situazione potenzialmente ingannevole è stata confermata da Amazon al figlio della signora Collinson, che l’ha documentata per il giornale britannico The Guardian dove lavora: si possono fare acquisti a voce, ha confermato Amazon, “dicendo di sì a un messaggio di offerta di un prodotto, generato quando un cliente richiede direttamente il prodotto o quando il cliente risponde positivamente a un suggerimento proattivo all’interno della skill”. Le skill sono, in sostanza, l’equivalente vocale delle app. 

[nel podcast qui c’è l’audio di Alexa che offre di acquistare a voce, tratto da Voice Technology di Alessio Pomaro]

La ditta Catholic Prayers, contattata, ha ipotizzato che la signora non si sia resa conto che Alexa la stava avvisando che il servizio di preghiera era a pagamento e abbia risposto di sì a questo avviso. La ditta, fra l’altro, dice di avere circa 10.000 utenti al mese. Viene da chiedersi se esistono davvero diecimila persone consapevolmente disposte a pagare due sterline al mese per farsi dire da un altoparlante una preghiera che possono sentire gratis (per esempio tramite l’assistente vocale di Google) o se si tratta almeno in parte di persone che sono cadute nello stesso equivoco della signora Collinson.

Dato che questi assistenti vocali vengono regalati sempre più spesso a persone che non hanno competenze informatiche e non sanno cosa sia una skill o che si possano generare degli addebiti semplicemente parlando, è importante che chi fa questi regali sia ben consapevole di queste funzioni, per evitare addebiti indesiderati, e sappia come disabilitarle.

Per impedire acquisti accidentali fatti a voce con un dispositivo Alexa si può entrare nell’account che lo gestisce e selezionare, nelle impostazioni, la sezione Acquisti tramite voce. Qui si può scegliere se disattivarla completamente oppure se proteggerla con un codice segreto di quattro cifre che dovrà essere detto ad Alexa per confermare l’intenzione di acquisto. In questo modo, solo chi conosce questo codice potrà fare acquisti. Ovviamente, se il codice viene detto in presenza di altre persone non sarà più segreto.

Viene da chiedersi quanti utenti di questi assistenti vocali siano a conoscenza di queste funzioni di acquisto automatico e sappiano come impostarle correttamente. Nel frattempo, Amazon segnala con entusiasmo sulle proprie pagine promozionali che ci sono sviluppatori che hanno guadagnato 25.000 dollari in soli sei mesi vendendo agli utenti Alexa la funzione che consente all’assistente vocale di dire “Buona notte” e una frase di conforto. E lasciando da parte un momento la questione degli addebiti non intenzionali, fa tristezza pensare che ci siano persone così sole da essere disposte a pagare per farsi dire una preghiera o la buonanotte da una macchina.

Mentre mancano prove di un ascolto generalizzato delle nostre conversazioni da parte degli smartphone, sappiamo invece con certezza che parte delle nostre conversazioni viene carpita dagli assistenti vocali, come Alexa, Cortana, Siri o l’Assistente Google. 

Il funzionamento di questi assistenti vocali, infatti, prevede esplicitamente che vengano registrati e trasmessi alle rispettive case produttrici tutti i suoni ambientali captati dai loro microfoni appena prima e appena dopo che è stata pronunciata la wake word o parola di attivazione (“Alexa” o “OK, Google”, eccetera): i comandi, infatti, vengono interpretati dai computer remoti di queste case produttrici, non dal dispositivo locale.

A volte questi assistenti credono di aver sentito la wake word quando in realtà è stato detto qualcos’altro e quindi può capitare che prendano degli spezzoni di conversazione privata e li mandino a Google, Amazon, Microsoft o Apple, dove possono essere archiviati e ascoltati da alcuni dipendenti di queste aziende (se la cosa non vi piace, potete chiedere l’eliminazione delle registrazioni). Ma a parte questi incidenti, non effettuano intercettazioni generalizzate e di massa.

Anche così, comprensibilmente molti utenti non vogliono correre il rischio di avere orecchie indiscrete in casa, per esempio nei momenti intimi o durante incontri professionali confidenziali, per cui rifiutano di installare Alexa e simili in casa o in ufficio. 

Però un assistente vocale è spesso molto comodo. I problemi di riservatezza e sorveglianza sparirebbero ce ne fosse uno che fa il riconoscimento vocale in locale, senza mandare spezzoni della nostra voce a nessuno e cancellandoli automaticamente dal dispositivo dopo che sono stati usati. Amazon ha presentato proprio questa possibilità pochi giorni fa: sarà disponibile “prossimamente”, perlomeno per gli utenti statunitensi (video, a 00:4:50).

Purtroppo questa opzione riguarda soltanto i dispositivi più recenti di Amazon, dotati di processore AZ1 Neural Edge e quindi è disponibile soltanto sugli Echo di quarta generazione, sull’Echo Show 10 e sui dispositivi futuri. Non sarà disponibile sui dispositivi precedenti.

È comunque un buon segno: la privacy aumenta e in più i tempi di risposta diventano più brevi grazie al fatto che il riconoscimento dei comandi avviene localmente invece di dover registrare la voce e mandarla via Internet a computer remoti che poi restituiscono l’azione corrispondente.

Fonti aggiuntive: The Verge, Engadget.

Credit: @robisanni.

Se mercoledì sera o giovedì mattina avete avuto problemi con il vostro aspirapolvere “smart” che non rispondeva più ai comandi, il campanello o apriporta “smart” non funzionava più o non riuscivate a giocare a Fortnite, non vi preoccupate: non è la Rivolta delle Macchine. 

Però un pochino dovreste preoccuparvi, perché vuol dire che il vostro dispositivo dipende totalmente da Internet per funzionare, e se Internet non va per qualunque ragione avete un dispositivo inutile. 

Se ne sono accorti gli utenti di alcuni prodotti di Autodesk e se ne sono accorte le redazioni di alcuni giornali statunitensi come il Washington Post, il Wall Street Journal e il Chicago Tribune, che hanno avuto serie difficoltà operative. Anche parte del sistema di trasporto ferroviario di New York è andata in crisi.

Il motivo della crisi era bello grosso: la regione US-East-1 degli Amazon Web Services era in tilt. Molti utenti non lo sanno e immaginano Amazon come un negozio online, ma in realtà Amazon gestisce anche una fetta molto sostanziosa del traffico di Internet e questa gestione produce il 57% dei suoi guadagni complessivi. Quando i suoi Web Services fanno le bizze, cade tutto come un castello di carte.

We are aware of a service interruption impacting Ring. We apologize for the inconvenience and appreciate your patience and understanding. Please check for updates here: https://t.co/eIn9C666kV.

— Ring (@ring) November 25, 2020

An Amazon AWS outage is currently impacting our iRobot Home App. Please know that our team is aware and monitoring the situation and hope to get the App back online soon. Thank you for your understanding and patience.

— iRobot (@iRobot) November 25, 2020

Alcuni utenti, insomma, si sono trovati nella situazione piuttosto assurda di non poter passare l’aspirapolvere o rispondere alla porta di casa per via di un guasto a Internet dall’altra parte del mondo. 

C’è un po’ di roba in crisi pic.twitter.com/b1v220pP5A

— PierGiggi (@pierchiodo) November 25, 2020

La situazione è stata riportata alla normalità alcune ore dopo, ma episodi come questo sottolineano l’importanza di scegliere dispositivi che possano funzionare anche senza una connessione a Internet. Non ha senso che per accendere le luci di casa a Zurigo si debba mandare un comando in California.

Se volete monitorare questi servizi e sapere se un improvviso malfunzionamento del vostro dispositivo “smart” è colpa del dispositivo o di un guasto ai suoi servizi online, provate Downdetector.com; lo stato dei servizi Web di Amazon è invece consultabile presso Status.aws.amazon.com.

Fonti aggiuntive: News.com.au, The Telegraph (paywall), The Register.

 

Ci sono oltre mille parole o sequenze di parole che possono attivare per errore gli assistenti vocali, come Siri, Google Assistant, Alexa o Cortana, e quindi mandare ad Apple, Google, Amazon o Microsoft spezzoni delle vostre conversazioni domestiche o sul luogo di lavoro.

Questo è il risultato di uno studio, intitolato Unacceptable, where is my privacy?, realizzato da un gruppo di ricercatori della Ruhr Universität Bochum e del Max Planck Institute for Security and Privacy, che dimostrano il fenomeno con una serie di video che mostrano attivazioni errate causate da dialoghi del Trono di Spade e di Modern Family: “a letter”, “We like some privacy” (ironico), “Hey Jerry”.


Fra le altre parole o frasi che causano attivazioni errate ci sono unacceptable e election (per Alexa), OK cool (per Google Assistant), a city (per Siri), Montana (per Cortana). Sarebbe interessante fare uno studio analogo per l’italiano e per altre lingue oltre all’inglese.

Il fenomeno in sé era già noto, ma la novità è la quantità di parole comuni che possono causare queste attivazioni impreviste: è talmente elevata che è necessario presumere che qualunque conversazione fatta in presenza di un assistente vocale non sia privata. L’unico modo per risolvere questo problema è spegnere o silenziare questi assistenti, o non possederli affatto. La ricerca include le istruzioni per riascoltare, o almeno cancellare, quello che è stato registrato dall’assistente vocale e trasmesso alla rispettiva azienda.


Fonte aggiuntiva: Ars Technica.

Ultimo aggiornamento: 2020/03/27 14:00.

Molti in questi giorni si trovano a dover lavorare da casa, con telefonate e videoconferenze nelle quali scambiano informazioni confidenziali. Medici, avvocati, docenti e tante altre persone devono garantire, anche in condizioni straordinarie, la riservatezza delle comunicazioni.

A parte tenere un volume di voce non troppo alto in modo da non far sentire tutto anche ai vicini e tenere fuori dalla stanza partner e bambini, che sono precauzioni piuttosto ovvie, bisogna tenere presente anche un aspetto informatico: gli altoparlanti smart, come Amazon Echo (Alexa) o Google Home, o gli assistenti vocali come Google Assistant, Siri o Cortana.

Questi altoparlanti e assistenti, infatti, hanno un microfono che può attivarsi spontaneamente, senza che siano state pronunciate le parole di attivazione, e può quindi captare le conversazioni private e trasmetterle ad Amazon o Google, dove possono essere ascoltate dai dipendenti di queste aziende.

Le attivazioni non intenzionali capitano più spesso di quello che molti immaginano. Una ricerca della Northeastern University e dell’Imperial College di Londra indica che gli utenti attivano involontariamente i loro altoparlanti “smart” da una volta e mezza fino a 19 volte al giorno.

Il consiglio è quindi di mettere in muto, o scollegare dall’alimentazione elettrica, questi altoparlanti almeno in orario di lavoro se si fanno conversazioni sensibili. Gizmodo ha preparato una guida (in inglese) su come trovare e cancellare tutto quello che viene captato dagli assistenti digitali.

Lo smartphone di Jeff Bezos, boss miliardario di Amazon, uno a cui i soldi e le motivazioni per pensare alla propria sicurezza informatica non mancano di certo, è stato violato.

Secondo i risultati di una perizia tecnica, l’iPhone di Bezos ha iniziato a trasmettere dati in quantità elevate (in media 100 megabyte al giorno) verso una destinazione imprecisata il primo maggio 2018, dopo che Bezos ha ricevuto tramite WhatsApp un video inviatogli dall’account di Mohammed bin Salman Al Saud, influente principe ereditario saudita che sostanzialmente governa l’Arabia Saudita.

Lasciando da parte momentaneamente i risvolti planetari politici della vicenda (Bezos è proprietario del Washington Post, il giornale per il quale scriveva il giornalista Jamal Khashoggi, fortemente critico del governo saudita  assassinato presso il consolato saudita di Istanbul a ottobre 2018), per noi comuni mortali questo attacco ha alcune implicazioni importanti.

Immagini tratte dal telefono di Bezos e inviategli dall’account di Mohammed bin Salman mostrano una donna che sembra essere Lauren Sanchez, con la quale Bezos aveva all’epoca una relazione extraconiugale segreta.

Primo, e non banale, a quanto pare le persone più influenti del mondo chattano tramite WhatsApp. Ci si potrebbe aspettare un social network riservato ai miliardari, e invece no.

Secondo, è stato violato un iPhone X, nonostante tutte le dichiarazioni sulla sicurezza di questo dispositivo fatte da Apple.

Terzo, l’iPhone è stato violato mandando un video alla vittima. Questo vuol dire che esiste un modo per attaccare chiunque via WhatsApp inviando un video? Non proprio. Secondo la perizia tecnica, il video è arrivato insieme a un imprecisato “downloader crittografato”, per cui non basta semplicemente ricevere un video per temere un attacco.

Quarto, è possibile che la falla usata per violare lo smartphone di Jeff Bezos sia stata già corretta: a maggio 2019 fu annunciata e corretta una grave vulnerabilità di WhatsApp (un buffer overflow) che veniva a quanto pare utilizzata da vari governi per spiare le persone.

Quinto, a quanto pare Bezos ha dimenticato la password del proprio account iTunes, visto che i periti hanno dovuto usare una tecnica particolare per ottenere i dati senza usare questa password.

Morale della storia: il vostro smartphone è così complesso e potente che è difficilissimo metterlo in totale sicurezza persino per uno come Jeff Bezos e quindi l’unica vera difesa è non usarlo, preferendo un telefonino normale (o nessun telefonino). Per contro, attacchi sofisticati come questo richiedono le risorse economiche e tecniche di uno stato, per cui se non siete un bersaglio particolarmente appetibile per motivi professionali o politici non avete motivo di preoccuparvi per questo genere di intrusione sofisticata.

Ma se lo siete, pensateci. E in ogni caso fate sempre gli aggiornamenti di sicurezza e non dimenticatevi le vostre password.


Fonti aggiuntive: Graham Cluley, BoingBoing, Vice.com.

Pochi giorni fa degli intrusi digitali sono entrati nella telecamera di sorveglianza Ring nella cameretta di una bambina di 8 anni in Mississippi e hanno cominciato a parlarle e prenderla in giro (c`è anche il video), sono avvenute varie altre intrusioni ed è emerso che sono stati pubblicati online 3600 indirizzi di mail, password, localizzazioni e altri dati personali di utenti Ring.

Amazon, fabbricante dei sistemi di sicurezza interconnessi Ring, si è difesa dando la colpa agli utenti: gli attacchi sarebbero andati a segno, dice Amazon, perché gli utenti hanno riutilizzato per i propri Ring delle password che usavano altrove ed erano già state rivelate da altri attacchi a questi altri servizi, e non hanno attivato l’autenticazione a due fattori.

La Electronic Frontier Foundation, però, nota che Amazon ha dimenticato un dettaglio tecnico importante: l’azienda si è accorta degli attacchi soltanto quando glieli hanno segnalati i ricercatori di sicurezza. E se le cose sono andate come dice Amazon, ossia se gli aggressori hanno tentato decine di migliaia di nomi utenti e password sul sito di Ring, Amazon avrebbe dovuto notare questo enorme numero di tentativi falliti e allertare gli utenti: un limite al numero di tentativi falliti è una prassi di sicurezza fondamentale, soprattutto quando ci sono di mezzo dati enormemente sensibili.

Le telecamere e i campanelli “smart”, infatti, vedono anche dentro gli spazi privati delle case, consentendo a criminali e ficcanaso di vedere in diretta chi c’è e non c’è, di riguardare le registrazioni video dei locali sorvegliati, acquisire la geolocalizzazione delle telecamere e quindi andare a colpo sicuro. Sicuro per loro.

Le traduzioni automatiche a volte hanno qualche leggero problema. Questi sono tutti link e screenshot verificati personalmente poco fa.

Shuzhen,Puttana da Golf per Esterno da Golf con Testa in Acciaio Inossidabile (link)

Borsa da viaggio unisex non essere una borsa da viaggio multifunzionale salata di puttana con sacchetti cosmetici con cerniera (link)

Cazzo di fagioli mung, verde, lucido, confezione da 5 (confezione da 5 x 400 g) (link)

KHE &apos BMX vorde Rad sunrims 4PLAY cerchione praezisionsgelagerte mozzo Die Puttana direttamente E3 (link)

Puttana da Gamba Aperta Petite Open da Donna ComfortSoft_Violet Splendor Htr_M (link)

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2019/08/27 12:00.

Le gioie dei dati nel cloud: la San Marino Tourservice S.p.A. ha messo centinaia di file contenenti dati dei clienti in un bucket Amazon leggibile da chiunque, con buona pace della sua privacy policy (che ho archiviato qui).

So che è già stata allertata tempo fa (non da me), ma non ha fatto nulla: i dati sono ancora lì, come lo erano a marzo scorso, alla mercé del primo che passa. Nomi, numeri di telefono, date di viaggio, infortuni e problemi di salute.

Un paio di esempi (in cui ho mascherato i principali dati), tanto per chiarire che non sto scherzando:


Visto che segnalare il problema direttamente e con discrezione agli interessati non sembra aver ottenuto alcun effetto, vediamo cosa succede con una segnalazione pubblica della figuraccia. Perché un cliente ha il diritto di sapere se i suoi dati personali verranno davvero tutelati dall’azienda alla quale si rivolge o se, come sembra, vige il chissenefrega più totale.

Ho inviato segnalazione anche al CNAIPIC.


15:50. Sono stato contattato dal responsabile informatico dell’azienda e gli ho spiegato i dettagli tecnici della questione, chiarendo che non ho trovato alcuna vulnerabilità ignota ma ho semplicemente usato uno degli appositi motori di ricerca che indicizzano i bucket world-readable. È comunque già un passo avanti. I dati sono tuttora leggibili e scaricabili da chiunque, anche in massa. Ricordo alle aziende che usano i bucket di Amazon che Amazon offre una guida alla messa in sicurezza e anche uno strumento di verifica delle impostazioni dei bucket.


21:10. Mi è arrivata una mail dal responsabile informatico dell’azienda, che ha confermato la mia segnalazione e ha detto che verranno prese misure opportune (che non descrivo qui) e ringraziato con la promessa di aggiornarmi sulle modifiche e con la cortese richiesta di verificare il loro operato. Tutto è bene quel che finisce bene? Beh, resta la questione delle conseguenze GDPR di questa esposizione di dati privati. Ma questa è un’altra storia.


2019/08/22 7:35. Sono stato contattato di nuovo dall’azienda, che mi ha chiesto di verificare che a seguito di un intervento tecnico ora i dati non sono più accessibili a chiunque. I miei controlli a campione confermano che è così.

2019/08/27 12:00. Ho sostituito gli screenshot iniziali (che avevo mascherato quasi completamente) con delle versioni completamente mascherate.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Sono sempre più numerosi i governi che spingono per l’introduzione del riconoscimento facciale come strumento di sorveglianza e lotta al crimine, ma è importante capire bene la reale affidabilità di questi sistemi, specialmente se non vengono configurati rispettando attentamente le raccomandazioni dei produttori.

Di recente la ACLU, un’associazione statunitense che si batte per la difesa dei diritti civili, ha dato una dimostrazione molto efficace dei limiti di affidabilità del sistema Rekognition di Amazon. Al sistema sono state date in pasto 120 immagini di legislatori californiani, per confrontarle con 25.000 foto segnaletiche di criminali. Rekognition ha trovato 26 corrispondenze. Tutte errate.

I legislatori, che sono chiamati proprio in questo periodo a legiferare sul riconoscimento facciale, ci possono ridere sopra: ma una persona che cerca lavoro e viene erroneamente identificata come un criminale ride molto meno.

Amazon ha contestato i risultati di questa dimostrazione, dicendo che se Rekognition viene usato “usando la soglia raccomandata di certezza del 99% e nell’ambito di una decisione guidata da esseri umani”, funziona adeguatamente. Il test della ACLU, invece, aveva usato una soglia dell’80%. Che però, nota l’associazione, è l’impostazione predefinita del software, ed è comunque piuttosto alta.

Quello che è certo è che senza un’impostazione corretta e scelta caso per caso, il rischio di falsi positivi che possono rovinare una vita è alto. Conviene quindi dare a questi sistemi di riconoscimento facciale una certa tara, altrimenti c’è il rischio che chi li usa li scambi per oracoli infallibili.

Alexa, l’assistente vocale di Amazon, non cancella tutte le cose che registra, neppure quando l’utente glielo chiede (con comandi come “Alexa, cancella quello che ho appena detto” oppure “Alexa, cancella tutto quello che ho detto oggi”).

Lo segnala Gizmodo, citando una lettera pubblica del vicepresidente per le politiche pubbliche di Amazon, Brian Huseman, che dice che le trascrizioni automatiche di quello che è stato detto dagli utenti non sempre vengono eliminate. Amazon, dice la lettera, può decidere di conservare questi dati nonostante le richieste di cancellazione delle registrazioni degli utenti se includono per esempio richieste di abbonamento, ordini di pizza, acquisti online, impostazioni di sveglie, o messaggi agli amici.

Huseman spiega che Amazon conserva queste trascrizioni perché, dice, “i clienti non vorrebbero e non si aspetterebbero che la cancellazione della registrazione vocale cancellasse anche i dati di contorno o impedisse ad Alexa di svolgere il compito richiesto.”

Meglio tenerne conto, se usate questo genere di dispositivo: separate i vostri ordini dalle altre cose che dite in casa, sperando che Amazon le archivi altrettanto separatamente e quindi cancelli eventuali conversazioni confidenziali captate dai sensibilissimi microfoni di Alexa.

Torno a parlare di assistenti vocali e in particolare di Alexa, dopo le segnalazioni di problemi di privacy di un paio di settimane fa, per un aggiornamento.

Dalle indagini di Bloomberg è emerso infatti che non solo presso Amazon ci sono molti dipendenti che ascoltano quello che viene captato dal microfono di questi dispositivi, ma che questi dipendenti possono facilmente scoprire gli indirizzi di casa delle persone che si trovano a dover origliare per lavoro e potevano anche scoprirne facilmente i numeri di telefono.

Amazon ha confermato, precisando però che questo genere di accesso è dato a “un numero limitato” di dipendenti che usano “un campione molto piccolo di interazioni” per migliorare il sistema di riconoscimento vocale. Non è chiaro cosa si intenda per “limitato” e “molto piccolo”, considerato che Amazon ha oltre 600.000 dipendenti e sono stati venduti oltre 100 milioni di dispositivi Alexa.

Non è il caso di fare i complottisti paranoici, come Alex Jones che chiede ad Alexa se è collegata alla CIA:

I'm crying laughing...
"Alexa... are you connected to the CIA?"
"Alexa... you are lying to me." - Alex Jones' hard hitting back and forth interview with an Amazon Echo.
He's not gonna let it get away with ANYTHING. pic.twitter.com/GxguDBLMST

— Tim Young (@TimRunsHisMouth) December 9, 2017

Tuttavia è importante rendersi conto che una conversazione fatta in un ambiente nel quale è attivo un dispositivo Alexa non può essere considerata realmente privata, perché a volte Alexa crede di aver sentito la parola di attivazione quando non è stata pronunciata e quindi inizia a registrare quando non dovrebbe. Qualunque assistente vocale attivato dalla voce tenderà a raccattare spezzoni di parlato non indirizzati ad esso: è un difetto inevitabile di questa tecnologia.

È altrettanto importante capire che la sensazione di intimità e riservatezza generata dalla voce suadente di questi dispositivi è ingannevole: chiunque abbia accesso all’account Amazon di una persona può infatti leggere e riascoltare tutte le domande fatte ad Alexa da quella persona. Genitori e figli, per esempio, potrebbero scoprire cose che preferirebbero non sapere gli uni degli altri. Lo stesso vale per le coppie.

Chi volesse ispezionare la propria cronologia delle richieste ad Alexa può andare a www.amazon.it/alexaprivacy e scegliere Rivedi la cronologia voce, come ho fatto io nello screenshot all’inizio di questo articolo. Raccomando inoltre di leggere con cura le Condizioni d’uso di Alexa e le altre informative di privacy del servizio: ma soprattutto di prendere la sana abitudine di galateo di spegnere i microfoni di Alexa con l’apposito pulsante, o scollegare il dispositivo dall’alimentazione, se arrivano ospiti o se si prevede di fare conversazioni intime: voi potreste non avere nulla da nascondere, ma magari il vostro interlocutore ha qualcosa da proteggere.

Perché alla fine questi assistenti vocali sono, in sostanza, microfoni che ci piazziamo in casa o in ufficio e sulla cui attivazione non abbiamo l’ultima parola (per parafrasare Jeremy Gillula, Electronic Frontier Foundation, citato da Gizmodo).

Se pensavate che le cose che dite ad Alexa, l’assistente vocale di Amazon, fossero private perché ascoltate soltanto da sistemi automatici per decifrarle e trasformarle in comandi e poi buttate via, ho una brutta notizia. Bloomberg ha scoperto che Amazon ha incaricato diverse migliaia di persone, sparse per il mondo, di ascoltare le voci degli utenti di Alexa, e le cose che dite vengono conservate.

Lo scopo di questo ascolto da parte di addetti di Amazon è migliorare il riconoscimento vocale di Alexa, ma questi addetti spesso captano registrazioni di momenti intimi e condividono gli spezzoni audio più divertenti. Comunque sia, ora sappiamo per certo che qualcuno origlia le cose captate dai microfoni di Alexa.

Amazon ha replicato alla scoperta di Bloomberg dicendo che questi dipendenti ascoltatori non hanno accesso a informazioni identificative e che ci sono numerose salvaguardie contro gli abusi. Ma è anche vero che Amazon non dice esplicitamente, nel suo materiale promozionale, che le conversazioni con Alexa possono essere ascoltate da suoi dipendenti.

Inoltre questi assistenti vocali, che in teoria dovrebbero registrare e decifrare solo dopo che hanno sentito la parola di attivazione (Alexa o Echo, di solito), in realtà si attivano anche per gli omofoni. Per esempio, in francese avec sa viene spesso frainteso come comando di attivazione. Il risultato è che spezzoni di conversazioni private, fatte senza invocare Alexa, finiscono negli archivi di Amazon.

Se volete un esempio di conversazione privata:

Ne ho uno in camera da letto, luogo dove entro solo io. In un ambiente comune come la sala non lo metterei mai. Lo uso prevalentemente per ascoltare musica, radio, podcast e info varie. Quando non sono in casa lo spengo.
A parte buttarlo via, quali altre accortezze suggeriresti?

— Deejay Raf (@DjRaf) 6 aprile 2019

Non portarci mai il tuo partner amoroso. Specialmente se si chiama Alessia :-)

— Paolo Attivissimo (@disinformatico) 6 aprile 2019

LOL! Tu scherzi, ma ci hai preso in pieno: mi è successo proprio con una Alessia... rispondevano entrambe.

— Deejay Raf (@DjRaf) 6 aprile 2019

Se volete controllare che cosa ha registrato Alexa su di voi, e magari cancellarlo, potete farlo dall’app Alexa andando in Impostazioni - Account Alexa - Privacy Alexa o dalla pagina Web www.amazon.it/alexaprivacy.

Se invece volete evitare che i dipendenti di Amazon ascoltino quello che dite ad Alexa, andate all’app di Alexa sul vostro telefono, toccate il menu in alto a sinistra, scegliete Account Alexa e Privacy Alexa, scegliete Gestisci il modo in cui i tuoi dati migliorano Alexa e poi disattivate il pulsante accanto ad Aiuta a sviluppare nuove funzionalità.


Fonte aggiuntiva: The Register.

Se avete acquistato un campanello digitale Ring di Amazon, tenete presente che i video registrati da questo dispositivo possono essere stati condivisi con sconosciuti e guardati dallo staff dell’azienda.

Secondo le indagini di The Intercept e di The Information, i video acquisiti da campanelli e telecamere di sorveglianza internet di questa marca venivano accumulati nel cloud di Amazon e messi a disposizione dei dipendenti in Ucraina e dei dirigenti negli Stati Uniti, senza crittografia per ridurre i costi e facilitare l’accesso. Per accedere a quello che vedevano le telecamere degli utenti era sufficiente conoscere il loro indirizzo di mail.

Inoltre la vantata “intelligenza” di riconoscimento delle immagini di queste telecamere era in realtà basata sull’instancabile e frenetico lavoro di un gran numero di dipendenti che esaminavano manualmente i video per valutarli. A giudicare dalle inserzioni su LinkedIn, questa prassi continua tuttora.

Secondo le fonti di The Intercept, “i dipendenti di Ring si scambiavano i video che stavano etichettando e descrivevano alcune delle cose che avevano visto, come persone che si baciavano, sparavano con armi da fuoco e rubavano”.

Di fronte a queste notizie, la maggior parte della gente reagisce dicendo “ma io non ho niente da nascondere”. Pensateci la prossima volta che vostra figlia torna a casa con il suo partner.

Amazon Echo, l’assistente vocale che risponde al nome di Alexa, è sostanzialmente un microfono sempre aperto e connesso a Internet. Forse è il caso di pensarci prima di comperarlo. Perché a volte quello che viene detto in casa viene captato e trasmesso a uno sconosciuto.

È successo a un cittadino tedesco, che ha chiesto ad Amazon di ricevere i dati riguardanti la sua attività presso questo negozio online e ha ricevuto 1700 registrazioni audio di comandi impartiti ad Alexa. Un risultato sorprendente, visto che non possiede un Echo.

Amazon gli aveva infatti inviato le registrazioni di qualcun altro. Il cittadino ha avvisato Amazon, che non gli ha risposto, però ha reso inattivo il link dal quale erano scaricabili le registrazioni.

I giornalisti di Heise.de le hanno ascoltate e sono stati in grado di “ricostruire un quadro dettagliato del cliente in questione e delle sue abitudini personali. Era ovvio che il ‘Cliente X’ usava Alexa in più di un posto. Aveva almeno un Echo in casa e ha un dispositivo Fire, comandato a voce, collegato alla sua TV. Anche una voce femminile si rivolgeva ad Alexa, e quindi c’era evidentemente una donna almeno per parte del tempo.”

Prosegue Heise: “Alexa era chiaramente in grado di sentire il nostro ‘soggetto’ nella doccia e i comandi dati a termostati e simili ci hanno mostrato che usa Alexa per comandare vari apparecchi smart di casa. Usa Alexa a casa, sul suo smartphone, e quando è in giro [...] siamo stati in grado di esplorare la vita privata di uno sconosciuto senza che lui lo sapesse [...] gli allarmi, i comandi Spotify, le richieste di informazioni sui trasporti pubblici incluse nei dati hanno rivelato molto sulle abitudini personali, il lavoro e i gusti musicali delle vittime. Usando questi file, è stato piuttosto facile identificare la persona e la sua compagna.”

Vi lascio leggere il resto della storia presso Heise.de. È molto interessante il modo in cui Amazon ha minimizzato e ha gestito il problema, prendendosi il merito di averlo scoperto, dicendo che si è trattato di “errore umano” ed evitando di contattare la persona di cui aveva inviato ad altri le registrazioni fino al momento in cui ne ha parlato Heise.de.

Se avete Alexa e volete riesaminare quello che ha registrato, potete visitare amazon.de/alexaprivacy (o il link equivalente del vostro account Amazon).

Si fa un gran parlare di intelligenza artificiale e di comprensione del linguaggio umano da parte dei computer, ma nel caso di Amazon sembra proprio che intelligenza e soprattutto comprensione siano andati a fare una passeggiata e non siano più tornati.

Amazon.it è infatti ricco di traduzioni assolutamente assurde di prodotti, presumibilmente perché le descrizioni vengono scritte in inglese e poi tradotte automaticamente senza però tenere conto dei doppi significati di alcune parole inglesi.

Prendete per esempio la parola cock. Significa sia gallo, sia fallo (in realtà la traduzione precisa del secondo significato è un po’ più volgare, ma lascio a voi immaginarla). E quando Amazon deve tradurre un ciondolo a forma di gallo, che cosa sceglie il traduttore automatico?

Fonte: Amazon.it.

Fonte: Amazon.it.

Anche il termine inglese wire stripper (spelafili) viene sbagliato clamorosamente, diventando Spogliarellista cavi:

Fonte: Amazon.it.

E che dire del Cestino di stoccaggio di impiccagione creativo? Traduzione bislacca di Creative Hanging Storage Hanging Basket (to hang significa appendere ma anche impiccare). La descrizione include anche un magnifico Cremagliera dell’organizzatore, che deriva da tidy rack (rastrelliera per riordinare), come si nota cercando lo stesso prodotto su Amazon.de.

Fonte: Amazon.it.

C’è anche un elefante giocattolo che aveva decisamente un pessimo carattere:

pic.twitter.com/0YC5FMZQWg

— Ramin (@bsramin) 25 novembre 2017

Ma ora è stato corretto in un più rassicurante spavaldo.

Come mai Amazon non adotta per esempio un filtro che escluda le parole scurrili o perlomeno attiri l’attenzione di un verificatore umano quando le incontra? Bella domanda. Vorrei saperlo anch’io. Comunque non è solo un problema di parolacce: dai commenti arrivati dopo la pubblicazione iniziale di questo articolo sono arrivate segnalazioni come i bicchieri di realtà virtuale: traduzione completamente sbagliata di virtual reality glasses, con il traduttore che inciampa nel doppio significato inglese di glasses (bicchieri ma anche occhiali).

Amazon Echo in versione HAL. Credit: Cryteria (CC-BY).

Ricordate quando dicevo che mettersi in casa un microfono sempre aperto e connesso a Internet, come per esempio un Google Home o un Amazon Echo, era una pessima idea perché esponeva al rischio che qualcuno ascoltasse le conversazioni? È successo. Non ci voleva un genio particolare per prevederlo, per cui non mi voglio prendere meriti da profeta, ma almeno un “ve l’avevo detto” credo di potermelo permettere.

Un assistente vocale (o “altoparlante smart”) Echo di Amazon, installato in una casa a Portland, in Oregon, ha ascoltato, registrato e inviato una conversazione privata tra moglie e marito a un conoscente degli abitanti della casa che vive a Seattle. Amazon ha confermato la notizia, accolta inizialmente con una certa incredulità.

Tutto è iniziato a metà maggio scorso con una telefonata da uno dei dipendenti della coppia, che avvisava di scollegare subito i dispositivi di Amazon presenti in casa perché erano stati “hackerati”. Il dipendente ha spiegato che aveva ricevuto dei file audio che contenevano registrazioni delle conversazioni avvenute nella casa. La coppia, inizialmente incredula, ha dovuto ricredersi quando il dipendente ha descritto il contenuto di una conversazione e poi gliel’ha fatta riascoltare.

Amazon, contattata dalla coppia, si è scusata, ha analizzato i log dell’altoparlante smart e ha spiegato come è avvenuta la violazione della sfera privata: il dispositivo Echo, permanentemente in ascolto, ha captato delle parole nella conversazione della coppia che ha interpretato come un comando di attivazione (il comando standard è il nome Alexa). Poi ne ha captate delle altre che ha interpretato come una richiesta di inviare un messaggio (send message).

A questo punto Echo ha detto “To whom?” (“A chi?”) e poi si è messo in ascolto in attesa che qualcuno dicesse il nome del destinatario del messaggio. La coppia, ignara della richiesta e del microfono aperto, ha proseguito la propria conversazione ed Echo ha interpretato alcune delle loro parole come il nome di una persona presente nella rubrica dei contatti.

Echo ha poi chiesto conferma dicendo “[nome del contatto], right?” e si è messo in attesa di una risposta. Intanto la coppia ha continuato a parlare ed Echo ha interpretato erroneamente alcune delle loro parole come una conferma (“right”) e quindi ha inviato il messaggio, contenente un brano della conversazione.

In sintesi:

• Coppia: bla bla bla bla bla
• Echo capisce che gli è stato ordinato di mandare un messaggio e chiede “A chi?”
• Coppia: bla bla bla bla bla
• Echo capisce che gli è stato detto il nome del contatto a cui mandare il messaggio e chiede “A [nome], giusto?”
• Coppia: bla bla bla bla bla
• Echo capisce che gli è stato risposto “Giusto”, inizia a registrare il “messaggio” e lo manda al contatto.

Tre errori di interpretazione concatenati sono un evento improbabile, certo, ma l’evento improbabile è avvenuto, dimostrando chiaramente che questi dispositivi possono fraintendere facilmente i comandi vocali e addirittura inventarsene quando non ne sono stati dati.

La coppia ha chiesto ad Amazon il rimborso dei dispositivi Alexa. Amazon per ora non ha accettato e ha dichiarato che sta prendendo “misure affinché questo non succeda in futuro”.


Fonte aggiuntiva: Ars Technica.

La sicurezza dei campanelli o videocitofoni digitali è ancora tutta da inventare: si tratta di oggetti indubbiamente utili, perché consentono di vedere chi c’è alla porta tramite lo smartphone, sia quando siamo in casa sia quando siamo lontani da casa, come ho raccontato di recente, ma essendo connessi a Internet è importante assicurarsi che non abbiano difetti di progettazione che consentano a un malintenzionato di abusarne via Internet.

The Information segnala il caso del “campanello smart” della Ring, azienda acquisita di recente da Amazon per un miliardo di dollari: un uomo di Miami, in Florida, Jesus Echezarreta, dopo aver chiuso la relazione con il proprio partner, ha cambiato la password di questo campanello, eppure l’ex partner è riuscito comunque a scaricare video dal dispositivo e persino a farlo suonare nel cuore della notte. Tutto tramite smartphone.

L’azienda ha risolto questa falla a gennaio scorso, ma il difetto di progettazione era grave: se un utente era già connesso al campanello tramite l’app, il software del Ring gli consentiva di restare connesso anche dopo un cambio di password. Una progettazione intelligente, invece, avrebbe obbligato tutti a riconnettersi. È un po’ come cambiare la serratura alla porta di casa e poi scoprire che si apre anche usando le chiavi di quella vecchia.

Anche dopo la correzione apportata da Ring, comunque, i test indicano che un utente resta collegato anche fino a ventiquattro ore dopo il cambio di password. Se state pensando di installare questi dispositivi, valutate bene a chi affidarne l’accesso.

Un utente ha chiesto ad un’Alexa statunitense quanto fa 10³⁰⁸: è interessante notare che la sintesi vocale varia la pronuncia della parola “oh” invece di essere sempre monocorde.


Questo è quello che succede se si chiede la stessa cosa ad un’Alexa britannica, che risponde con toni leggermente languidi:


Siri, a quanto pare, è un po’ meno robotica: dice che 10³⁰⁸ è un numero di 309 cifre che inizia con 1, 0, 0, 0 e poi propone il numero per esteso sullo schermo, attingendo al motore di ricerca matematico Wolfram Alpha.

Google Assistant, invece, risponde pigramente “1.0 x 10^308”:



Mah.