Pubblicazione iniziale: 2023/02/18 11:19. Ultimo aggiornamento: 2023/03/14 17:35.

Ho ricevuto numerose segnalazioni di un annuncio di Twitter, secondo il quale l’autenticazione tramite SMS verrà riservata prossimamente agli utenti paganti.

L’annuncio è autentico e dice che “Solo gli abbonati a Twitter Blue”, che è la versione a pagamento di Twitter, “possono utilizzare gli SMS come metodo di autenticazione a due fattori. La sua rimozione richiederà solo qualche minuto.” dice l’annuncio. “Puoi ancora utilizzare l’app per l’autenticazione e i token di sicurezza come metodi di autenticazione.” Questo avviso indica la data del 19 marzo prossimo come termine ultimo: “Per non perdere l’accesso a Twitter, rimuovi l’autenticazione a due fattori tramite SMS entro la seguente data: 19 mar 2023”.

Questa nuova regola è stata annunciata ufficialmente con un tweet di @TwitterSupport il 18 febbraio 2023 ed è descritta in dettaglio in una pagina del blog di Twitter, con la giustificazione che “purtroppo abbiamo visto che l’autenticazione a due fattori basata sul numero di telefono viene usata e abusata da attori ostili. Per cui a partire da oggi non permetteremo più agli account di iscriversi al metodo di autenticazione a due fattori basato su SMS a meno che siano abbonati a Twitter Blue” (“unfortunately we have seen phone-number based 2FA be used - and abused - by bad actors. So starting today, we will no longer allow accounts to enroll in the text message/SMS method of 2FA unless they are Twitter Blue subscribers”).

Suona un po’ assurdo dire che una forma di autenticazione più debole verrà riservata agli utenti paganti (che sono quelli che hanno più da perdere), ed è facile interpretare questa novità come un altro disperato tentativo di incentivare gli utenti a usare la versione a pagamento di Twitter (cosa che finora, a quanto pare, hanno fatto meno di 200.000 persone negli Stati Uniti). Tuttavia Elon Musk ha giustificato questo cambiamento dicendo che gli SMS di autenticazione a due fattori fraudolenti, generati da numerose compagnie telefoniche disoneste, stavano costando a Twitter ben 60 milioni di dollari l’anno.

Sia come sia, rimane il fatto che l’autenticazione fatta tramite SMS in generale è poco sicura, non solo su Twitter ma su qualunque servizio online, e andrebbe rimpiazzata, comunque e dovunque, dall’autenticazione tramite app apposita o tramite token, ossia un piccolo dispositivo digitale che contiene una chiave crittografica di sicurezza.

Purtroppo è molto probabile che invece la pigrizia della massa degli utenti, di fronte alla scelta fra 

a) pagare per continuare come prima 

e 

b) capire, installare, configurare e attivare l’autenticazione tramite app

sarà quasi sempre

c) levare del tutto l’autenticazione e usare solo la password, tanto cosa vuoi che mi succeda

Già adesso, secondo le ricerche dell’esperta informatica Rachel Tobac, meno del 3% degli utenti di Twitter ha una qualunque forma di autenticazione a due fattori, e di quel 3% scarso il 74% usa gli SMS. Con questa nuova regola, un’ondata di furti di account è praticamente inevitabile.

Se volete rimediare e cercate un’app di autenticazione, potete provare Authenticator di Google (per Android e iOS) oppure Authy o l’app di autenticazione di Microsoft (disponibile anche lei per Android e iOS). Per gli utenti Apple c’è anche il Keychain o Portachiavi di iOS.

Passare all’autenticazione forte in Twitter non è difficile, ma non è neanche una passeggiata: 

• Il primo passo è installare un’app di autenticazione.
• Fatto questo, si va nell’app, si tocca l’icona del profilo, si sceglie Impostazioni e assistenza, poi Impostazioni e privacy e infine Sicurezza e accesso all’account e poi Sicurezza. 
• Qui si sceglie Autenticazione a due fattori e si disattiva l’opzione SMS (per farlo bisogna digitare la propria password).
• Compare la richiesta di confermare la disattivazione e si risponde toccando Disattiva.
• Si attiva una delle opzioni di sicurezza alternative, ossia App per l’autenticazione oppure Token di sicurezza. Se si sceglie la prima (App per l’autenticazione), compare l’invito ad abbinare un’app di autenticazione all’account Twitter.
• Si clicca su Inizia.  
• Nella schermata successiva, che richiede di abbinare l’app di autenticazione all’account Twitter, si tocca Link app.
• Su iPhone (non so cosa succeda su Android) a questo punto compare la schermata Password automatica e viene elencato l’account Twitter insieme agli altri protetti da password. Si tocca questo account e compare un codice di verifica che dura 30 secondi.
• Si tiene a mente questo codice e si torna all’app Twitter, che a questo punto chiede di immettere il codice.
• Si immette il codice.
  

Già che siete da quelle parti in Impostazioni e privacy e poi Sicurezza e accesso all’account, toccate anche l’opzione Codice di backup, che genera un codice unico, usabile una sola volta, che vi permette di autenticarvi in caso di emergenza.  

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: “Quello che succede a Las Vegas resta a Las Vegas”, da “Una notte da leoni” (2009)]

Si dice sempre così, ma stavolta non è vero. Quello che è successo a Las Vegas al corrispondente della CNN Donie O’Sullivan sta facendo il giro del mondo, perlomeno fra gli informatici. Il giornalista è stato preso di mira da due hacker, che gli hanno scoperto le password in una manciata di minuti. E non è la prima volta che gli è capitato. Eppure Donie O’Sullivan è contento.

Questa è la storia di quello che è successo al giornalista, del motivo per cui è felice di essere stato hackerato e di come si stanno evolvendo e stanno diventando sempre più veloci le tecniche di scoperta delle password e di conseguente violazione degli account. Ma naturalmente è anche la storia di come si possono, anzi si devono, aggiornare i propri metodi di difesa da queste violazioni. In questa storia ci sono lezioni utili per chiunque abbia un account online di qualunque tipo.

Benvenuti a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia ad agosto del 2019. Donie O’Sullivan è un corrispondente della CNN, e alcuni suoi account vengono violati da due hacker, Rachel ed Evan Tobac, marito e moglie. I due gli rubano circa 2500 dollari di punti fedeltà alberghieri, gli cambiano i dettagli della prenotazione di un volo aereo che deve fare prossimamente, e gli combinano altri dispetti relativamente leggeri. Sappiamo i loro nomi perché si tratta di hacker etici, ossia di persone esperte in sicurezza informatica che usano le proprie competenze a fin di bene. Sono i cofondatori di una società di sicurezza informatica, SocialProof Security, e in questo caso hanno il consenso del loro bersaglio, cioè il corrispondente della CNN, che li ha sfidati amichevolmente per vedere che cosa sarebbero riusciti a fare.

Tre anni più tardi, ad agosto 2022, i due hacker vengono ricontattati dal giornalista della CNN per un nuovo esperimento. Mentre il loro primo tentativo di tre anni prima aveva richiesto molta fatica e molto tempo, stavolta riescono a scoprire ben tredici password di Donie O’Sullivan nel giro di mezzo minuto, perché nel frattempo sono diventati disponibili nuovi strumenti di attacco.

Rachel Tobac racconta in dettaglio in una serie di tweet come ha proceduto nel suo attacco. Per prima cosa si è fatta dare il consenso esplicito del bersaglio, ossia il giornalista, e ha concordato un campo d’azione ben preciso e delimitato nel quale effettuare l’intrusione e degli obiettivi e limiti altrettanto dettagliati. E poi ha sfoderato gli strumenti di lavoro.

Il primo di questi strumenti si chiama OSINT, che sta per open source intelligence. Non è uno strumento in senso stretto: è una serie di tecniche di ricerca tramite Google e altri motori di ricerca e anche all’interno dei social network allo scopo di acquisire informazioni di contorno sul bersaglio: indirizzi di mail, nomi di account, numeri di telefono e altri dati personali potenzialmente utili. Queste informazioni sono spesso disponibili online, e quindi si possono ottenere senza neanche interagire con il bersaglio e pertanto senza allarmarlo. Inoltre Rachel prova a usare le procedure di recupero sugli account del bersaglio, per vedere se lasciano trapelare qualche altra informazione: cose come indirizzi di mail parziali, numeri di telefono o caselle di mail d‘emergenza, oppure le ultime quattro cifre di una carta di credito o un suggerimento per ricordare la password dimenticata.

Rachel prende le informazioni di contatto di Donie che ha trovato con questa ricognizione e le usa per fare una ricerca nel secondo strumento a sua disposizione, che è una serie di breached password repository. Questi sono strumenti relativamente nuovi e straordinariamente potenti, che vanno spiegati bene, perché una volta che vi sarà diventato chiaro come funzionano probabilmente correrete a cambiare il vostro metodo di gestione delle password, come ho fatto anch’io. 

---

Un breached password repository è un deposito pubblico di password violate. Ogni tanto le aziende che forniscono servizi su Internet di qualunque genere, dai grandi nomi come Netlog, Yahoo o LinkedIn fino ai negozietti online, vengono attaccate dai criminali informatici, che rubano i loro archivi di dati dei clienti. In questi archivi sono conservati i nomi utente, gli indirizzi di mail e le password di ciascun utente; vengono rubati solitamente per estorcere denaro, sotto la minaccia di pubblicarli causando un danno d’immagine costosissimo all’azienda attaccata. Se l’azienda non paga, i dati vengono pubblicati online per punizione.

Questi dati vengono trovati e raccolti da questi repository, che li mettono a disposizione degli utenti, che così possono sapere per esempio se un certo loro account è mai stato violato e quindi cambiare password per tempo, e li offrono anche ai ricercatori e agli esperti di sicurezza ma anche, inevitabilmente, ai criminali informatici. Un esempio di questi repository pubblici è Haveibeenpwned.com; un altro, quello usato da Rachel in questo caso, è Dehashed.com. 

Potete usarli anche voi, per esempio digitando uno dei vostri indirizzi di mail nelle loro caselle di ricerca, per sapere se quel vostro indirizzo è mai stato violato.

Va chiarito che spesso le password degli utenti non finiscono in questi depositi per colpa degli utenti: ci finiscono per colpa della gestione inadeguata della sicurezza dei siti ai quali gli utenti si affidano. In altre parole, potete essere la persona più attenta e blindata del mondo e usare le password più complicate dell’universo, ma se il sito nel quale le usate è un colabrodo, la vostra password finirà lo stesso in questi depositi, senza che abbiate alcuna colpa.

A questo punto, insomma, Rachel, l’hacker etica, ha recuperato da questi depositi alcune password di Donie, la sua vittima. Ma molte sono in forma protetta, ossia sono degli hash, perché ormai quasi tutti i siti hanno imparato a non custodire le password dei clienti in chiaro e a tenere soltanto questa forma protetta, che ha il grosso vantaggio di consentire di verificare molto facilmente se una password digitata è quella giusta e di rendere estremamente difficile il percorso inverso, ossia scoprire la password partendo dal suo hash. Tecnicamente un hash è una funzione non invertibile: dalla password si può ottenere facilmente l’hash corrispondente, ma non si può fare il contrario. O meglio, lo si può fare solo con moltissimo tempo e tantissima potenza di calcolo, per cui normalmente non ne vale la pena.

Rachel usa poi un terzo strumento: una rainbow table, ossia un software che contiene, in forma già precalcolata o facilmente calcolabile, le password corrispondenti a molti di questi hash, e così riesce a recuperare alcune delle password del suo bersaglio, ma non tutte. Il tempo di calcolo necessario per recuperare queste password mancanti facendo tutti i tentativi possibili normalmente sarebbe infinitamente lungo, ma Evan, socio e marito di Rachel, usa le informazioni raccolte da Rachel per ridurre il numero di tentativi, e riesce così a scoprire anche quelle password.

Il suo trucco, spiegato in dettaglio in una sua serie di tweet pubblici, è relativamente semplice: sa che quasi sempre gli utenti usano password che sono solo delle leggere varianti di quelle usate in passato. Un esempio classico è la password pippo01, che quando scade diventa pippo02, e così via. Per cui Evan dice a un altro software, Hashcat, di provare tutte le permutazioni leggermente differenti delle vecchie password di Donie scoperte nei depositi da Rachel.

Con queste tecniche e questi strumenti, i due hacker riescono a trovare ben tredici password del bersaglio nel giro di mezzo minuto.

[CLIP: Rachel Tobac: I was able to find 13 of his passwords within 30 seconds.]

Entrano nei suoi account sotto i suoi occhi, accedendo ai suoi profili sui social network, ai siti dedicati ai viaggi, e altro ancora.

[CLIP: Is this a password that you use now? O'Sullivan: Yeah.]

L’esistenza di questi depositi di vecchie password cambia profondamente il lavoro del criminale informatico e lo facilita moltissimo. Al tempo stesso, questi depositi sono utili per allertare gli utenti onesti di eventuali violazioni, per cui sarebbe deleterio chiuderli o bandirli, e quindi è probabile che ce li terremo, nel bene e nel male, per molto tempo.

Inevitabilmente, un criminale informatico molto determinato, che ha come obiettivo una vittima ben precisa, può usare questi depositi per conoscere le abitudini passate di quella vittima in fatto di password e avere indizi preziosi per indovinare le sue password correnti. Questo è un appiglio che in passato non c’era. E allora come ci si difende? 

---

I consigli dei due hacker a fin di bene sono molto pratici. Per prima cosa, non dobbiamo usare la stessa password dappertutto, come fanno ancora moltissimi utenti, neppure per i siti che consideriamo frivoli o poco importanti, perché se uno qualsiasi dei servizi che usiamo viene violato, anche senza alcuna colpa da parte nostra, l’aggressore tenterà per prima cosa quella password su tutti i principali siti e quindi ci ruberà tutti i profili.

Questo è un consiglio che viene dato da tempo immemorabile; quello che cambia oggi è che ormai non basta più usare password leggermente differenti nei vari siti oppure aggiornare periodicamente le proprie password seguendo uno schema abituale, perché le nostre abitudini ci tradiranno. Non c’è niente da fare: servono password lunghe, completamente casuali, e tutte differenti tra loro. Un incubo.

L’unico modo pratico per rispettare questi consigli, a questo punto, è usare un cosiddetto password manager: un’app che generi e custodisca le nostre password e le digiti automaticamente per noi quando ci servono. Ce ne sono moltissime, fornite da vari produttori, come per esempio 1Password, e anche integrate nel browser o nel sistema operativo, come per esempio l’Accesso Portachiavi in macOS e sugli smartphone e tablet Apple oppure la Gestione credenziali in Windows 11.

La seconda raccomandazione della coppia di informatici è usare l’autenticazione a due fattori, ossia la ricezione di un codice temporaneo supplementare ogni volta che si entra nel proprio profilo su un nuovo dispositivo, e applicare questa autenticazione a tutti i propri account. Questo rende quasi impossibile il furto o la violazione dei nostri account.

Rachel e Evan concludono i loro consigli con una soluzione vecchio stile, adatta a chi trova troppo complicato usare un password manager: un quadernetto in cui scrivere tutte le proprie password. Il quadernetto va tenuto sotto chiave, per esempio in un cassetto, e le password che contiene devono essere tutte differenti, lunghe e complicate. Se non siete persone particolarmente esposte, questo approccio analogico può essere sufficiente e soprattutto utilizzabile in pratica. Aggiungendo l’autenticazione a due fattori la protezione sarà comunque adeguata.

Insomma, non rimandate la messa in sicurezza dei vostri profili: procuratevi subito un password manager o un’agendina e cominciate subito a cambiare le vostre password. Perché non tutti gli hacker sono etici e simpatici come Evan e Rachel, e non vorrei trovarmi a raccontare in questo podcast la vostra storia di hackeraggio subìto per colpa di qualche azienda maldestra nel custodire i vostri dati.

You should probably change your passwords. Here’s why 👇. https://t.co/AjwQuo6PmL pic.twitter.com/OpT8R9Hx9W

— CNN (@CNN) October 21, 2022

Fonti aggiuntive: CNN (trascrizione del servizio); Rachel Tobac “hackera” Jeffrey Katzenberg; conferenza di Rachel Tobac a Context ’22.

Segnalo qui brevemente la soluzione di un problema che mi ha fatto perdere un bel po’di tempo stamattina con Thunderbird, perché dopo l’aggiornamento più recente non ne voleva sapere di accedere a quasi tutti i miei account Gmail. Compariva questa simpatica schermata, che non portava da nessuna parte: i link non erano cliccabili e i menu a tendina non funzionavano.

Ho provato di tutto, dalla disattivazione dell’autenticazione a due fattori all’abilitazione delle “app insicure” alle password una tantum app-specifiche agli account di recupero: niente da fare. Poi, grazie a un po’ di ricerca online, ho trovato questo suggerimento su Reddit: bisogna verificare che Thunderbird accetti i cookie (in Preferenze - Privacy e sicurezza - Accetta i cookie dai siti). Funziona tutto.

Tuttavia il rimedio potrebbe avere vita breve: Google ha annunciato tempo fa che “a partire dal 30 maggio 2022, ​​Google non supporterà più l'uso di app di terze parti o dispositivi che chiedono di accedere all'Account Google utilizzando solo il nome utente e la password.” 

Se state accedendo ad account Gmail usando l’opzione “Accesso app meno sicure”, tenete presente che quest’opzione scomparirà il 30 maggio prossimo. La soluzione, descritta qui, consiste nell’impostare il proprio account di mail in modo che usi OAuth2. O almeno così pare. Vedremo cosa succede dopo il 30 maggio.

 

2022/04/11: Mozilla Italia, nei commenti qui sotto, segnala una miniguida molto utile e pubblica maggiori informazioni qui.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Anche la Polizia di Stato italiana si associa all’allarme per i furti di account WhatsApp: in un comunicato, segnala e spiega la tecnica utilizzata dai ladri.

La vittima riceve un messaggio sul proprio telefonino con una richiesta apparentemente innocente: “Scusa, ti ho inviato per sbaglio un codice, me lo puoi rimandare?” o qualcosa di analogo. La vittima ha in effetti ricevuto pochi istanti prima via SMS un codice di sei cifre e quindi pensa di fare un favore al proprio interlocutore rimandandoglielo.

Ma è una trappola: il codice, infatti, è quello che WhatsApp manda all’utente quando si vuole trasferire il proprio account a un altro telefono o a un altro numero. Chi ha quel codice può prendere il controllo dell’account.

La trappola è particolarmente credibile perché spesso la richiesta di mandare il codice sembra arrivare da una persona che si conosce e di cui quindi ci si fida: in realtà, spiega la Polizia di Stato, solitamente il conoscente è “un’altra vittima della frode che ha già subito il furto dei dati, in particolare della rubrica, nella quale c’era anche il vostro numero di telefono”.

La difesa è semplice: se ricevete una richiesta di questo genere, per prima cosa ignoratela e non mandate nessun codice a nessuno. Se conoscete il mittente, contattatelo usando un altro canale (una telefonata o un incontro di persona) e avvisatela del problema. E se potete, segnalate il caso alle autorità. Per maggiore sicurezza, attivate l’autenticazione a due fattori (o verifica in due passaggi) su WhatsApp, spiegata qui.

Se il furto di account è già avvenuto, potete consultare le apposite FAQ di WhatsApp per tentare il recupero dell’account.

Ultimo aggiornamento: 2020/10/23 14:35.

Victor Gevers, un ricercatore di sicurezza olandese molto noto nel settore (@0xDUDE), ha dichiarato di essere riuscito a entrare nell’account Twitter personale del presidente degli Stati Uniti, Donald Trump, semplicemente indovinandone la password dopo cinque tentativi.

Secondo Gevers, la password di Trump era maga2020! e l’autenticazione a due fattori era disattivata. Il ricercatore dice di aver allertato il governo statunitense del problema. Tutta la vicenda è pubblicata su de Volkskrant e su Vrij Nederland (entrambi in inglese).

La Casa Bianca smentisce, e Twitter dice di non aver visto prove a sostegno (che, sia chiaro, non è una smentita categorica). Però Gevers ha mostrato a de Volkskrant delle comunicazioni ricevute dal Secret Service statunitense sulla vicenda, e dichiara di avere messo al sicuro un file che contiene le prove della vicenda e altre informazioni importanti e di tenerlo come garanzia che non gli succeda nulla di “inatteso”. La sua cautela è tipica del settore della sicurezza informatica, ma è anche basata su un precedente: Gevers e altri erano infatti già entrati nell’account di Trump nel 2016, quando la password era yourefired.

All’epoca, dice Gevers, avevano avvisato le autorità statunitensi. Ma a quanto pare l’avviso non è servito a nulla, perché la sicurezza dell’account di Trump  era ancora un colabrodo.

Ci sono alcuni punti ancora da chiarire nella notizia: altri ricercatori stanno facendo le pulci alle dichiarazioni di Gevers e hanno notato delle apparenti incoerenze, due delle quali però sono già state risolte (conta dei caratteri anomala nello screenshot (anche qui) e lunghezza insufficiente). 

Si obietta inoltre che gli account Twitter legati alle elezioni presidenziali statunitensi hanno delle protezioni speciali, ma allo stesso tempo va notato che la presunta violazione riguarda l’account personale di Trump (@realdonaldtrump, non @POTUS) e che l’autenticazione potrebbe essere stata disattivata durante il recente ricovero in ospedale del presidente USA. E la reputazione di Gevers, che ha al suo attivo una lunga carriera di divulgazione responsabile di problemi di sicurezza, è fortissima.

In ogni caso, storie come questa ricordano l’importanza della sicurezza degli account. Anche se non siete presidenti degli Stati Uniti, se gestite un account dal quale dipende la vostra reputazione o quella dell’azienda per la quale lavorate, usate password uniche, lunghe e non ovvie, e attivate l’autenticazione a due fattori. Altrimenti ci vuole poco per rovinarvi.

L’autenticazione a due fattori (2FA) fatica a prendere piede, un po’ per via del suo nome polisillabico e poco accattivante ma anche perché viene proposta soltanto (si fa per dire) come soluzione di sicurezza per evitare il furto di account e molti utenti non prendono sul serio l’idea di poter essere derubati del proprio account.

Ma la 2FA ha anche un altro vantaggio decisamente utile: come racconta Motherboard, è utile anche per bloccare i cheater, i bari dei videogiochi.

Activision, l’azienda che pubblica Call of Duty: Warzone (creato dalla software house Infinity Ward), sta obbligando i giocatori a usare la 2FA per autenticarsi dando un numero di telefono cellulare per poter accedere al gioco. Questo rende molto difficile la vita ai cheater che approfittavano del fatto che COD:W è gratuito per creare tantissimi account, in modo da poter rientrare nel gioco dopo essere stati bannati per aver barato, per esempio vedendo gli altri giocatori attraverso i muri. Il mese scorso sono stati bannati ben 70.000 cheater.

Ovviamente i cheater, invece di accettare che barare a un gioco è meschino e disonesto, si sono lamentati di questa novità. Esistono modi per avere numeri di telefonino temporanei usa e getta, ma richiedono tempo e fatica, per cui sono comunque un ottimo deterrente. Come effetto secondario, l’introduzione della 2FA rende anche maggiore la protezione dell’account del giocatore.

Se vi arriva via SMS un codice di sei cifre e qualcuno ve lo chiede, non dateglielo: vi potrebbe rubare l’account WhatsApp.

La tecnica è questa: il ladro di account vi manda un SMS nel quale finge di essere un comune utente pasticcione che ha inviato un proprio codice a voi per errore e vi chiede cortesemente di rimandarglielo.

Non fatelo. Quel codice è infatti il codice di verifica di WhatsApp. Il ladro sta tentando di rubarvi l’account WhatsApp e ha immesso nell’app il vostro numero di telefono, e quindi WhatsApp ha inviato al vostro telefono l’apposito codice di verifica. Se comunicate questo codice al ladro, gli date tutto quello che gli serve per prendere il controllo del vostro account.

Va detto che il codice di verifica arriva in un messaggio che dice molto chiaramente di non dare il codice a nessuno, ma c’è sempre qualche vittima che non ci fa caso e quindi risponde alla richiesta del ladro.

WhatsApp ha una pagina apposita di istruzioni, che avverte che “WhatsApp non dispone di informazioni sufficienti per identificare la persona che tenta di verificare il tuo account WhatsApp” ma consola notando che “i contenuti condivisi su WhatsApp sono crittografati end-to-end e i messaggi vengono archiviati sul tuo dispositivo, pertanto chi accede al tuo account da un altro dispositivo non può leggere le tue conversazioni precedenti”.

Se il furto va a segno, WhatsApp offre alcune informazioni nell’articolo Furto dell’account e consiglia di abilitare la verifica in due passaggi.

Il CEO e fondatore di Twitter, Jack Dorsey, si è fatto fregare temporaneamente e parzialmente il controllo del proprio account. Twitter Comms dice che “il numero di telefono associato all’account è stato compromesso a causa di una svista di sicurezza del fornitore cellulare. Questo ha permesso a una persona non autorizzata di comporre e inviare tweet tramite SMS da quel numero di telefono. Il problema è ora risolto”.

Sia come sia, è una buona occasione per ripassare le impostazioni di sicurezza di Twitter.

Per esempio, è assolutamente consigliabile attivare l’autenticazione a due fattori (two-factor authentication o 2FA), altrimenti chiunque scopra o indovini la vostra password potrà prendere il controllo del vostro account.

Io ho la 2FA, basata su Google Authenticator, per cui l’opzione di ricevere un codice di autenticazione tramite SMS non mi serve ed è anzi una possibile vulnerabilità.

L’opzione è accessibile presso questo link diretto di Twitter, ma se ci provate da un browser scoprirete, come è capitato a me, che se cercate di disattivarla verrà disabilitata anche la 2FA. Pessima idea.



Paradossalmente, se faccio la stessa cosa dalla app, funziona senza disabilitare la 2FA.

Basta andare nell’app, toccare l’icona del profilo, scegliere Impostazioni e privacy, Account, Sicurezza, Verifica dell'accesso, e disabilitare la voce SMS.




A questo punto, se vado nell’interfaccia di gestione del mio account tramite browser, mi mostra la voce SMS correttamente disabilitata. Quello che prima mi vietava di fare ora è fatto. Va be’.



Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

In una recente puntata di Filo Diretto (La1, RSI, da 43:30 in avanti) ho proposto una piccola dimostrazione della sicurezza offerta dall’autenticazione a due fattori: uno dei migliori sistemi di protezione degli account, che però è usato da pochissimi utenti.

Ho creato un account Instagram, 123disinformatico, e ho pubblicato la password di questo account (123test), invitando le persone a tentare di “hackerarmi”  il profilo Instagram, che ho decorato con numerose foto di gattini nella migliore tradizione di Internet.

L’account è ancora saldamente sotto il mio controllo nonostante diverse decine di tentativi di violarlo (ora ho cambiato password), ed è interessante vedere cosa succede quando questo “antifurto” viene messo alla prova da un attacco ripetuto.

Innanzi tutto Instagram avvisa dei tentativi di intrusione mostrando una schermata che dice “Modifica la tua password per proteggere il tuo account” e spiega che “Qualcuno potrebbe avere la tua password, pertanto effettueremo la disconnessione da tutte le sessioni. Chiunque stia tentando di accedere al tuo account non avrà più accesso a esso.”

Instagram, inoltre, segnala anche i singoli tentativi, indicando la localizzazione e dando la possibilità di dire “Non ero io” oppure “Ero io” (utile nel caso di accesso da un altro proprio dispositivo).

Nella casella di mail associata all’account arrivano poi altre informazioni sui tentativi di violazione: per esempio, viene spesso identificato il tipo di dispositivo che ha tentato l’accesso (Apple iPhone o Samsung SM-G973F, per esempio) e viene indicata la località di apparente provenienza del tentativo (per esempio Zurigo, Losanna, Giubiasco, Lugano, Zugo, Frick, Cugnasco, Canobbio, Cadenazzo, Berna) insieme al nome dell’app che ha tentato l’accesso (complimenti, fra l’altro, a chi ha usato Vivaldi invece del solito Chrome).

Dopo un certo numero di tentativi d’intrusione, inoltre, via mail arriva un avviso: “Ciao 123disinformatico, qualcuno ha provato ad accedere al tuo account Instagram. Se eri tu, usa il codice seguente per confermare la tua identità: [omissis] Se non eri tu, reimposta la tua password per proteggere il tuo account.”

Direi che la prova è andata bene: il sistema ha dimostrato di reggere e di gestire non solo attacchi multipli ma di consentire di usare comunque un account Instagram anche su più di un dispositivo. Cosa aspettate a usarlo?

Ultimo aggiornamento: 2019/02/17 21:00. 

Attivare l’autenticazione a due fattori in Instagram è piuttosto semplice: il problema è convincere gli utenti a usarla per proteggere il proprio account in caso di furto di password.

Così vi propongo un esperimento: ho creato un account Instagram di prova che si chiama 123disinformatico. La sua password è instagramtest.

È protetto dall’autenticazione a due fattori. Provate a prenderne il controllo: avete il mio permesso esplicito.

Con questo piccolo esperimento simulo le condizioni in cui si trova l’utente quando avviene un furto in massa di credenziali, per cui la sua password e il suo nome utente circolano liberamente su Internet insieme a milioni di altri dati analoghi, come avvenuto di recente. In queste condizioni, chiunque metta le mani sugli elenchi di password può tentare di rubare un account e quindi un utente può essere attaccato da numerosissimi aggressori.

Per attivare questo antifurto si va nelle Impostazioni (dalla Home, icona in basso a destra, poi icona con tre trattini in alto a destra), si sceglie Privacy e Sicurezza e poi Autenticazione a due fattori. Qui si sceglie Messaggio di testo oppure (consigliabile) App di autenticazione. Infine si immette il codice ricevuto. Tutto qui.

Per maggiore sicurezza, annotate da qualche parte i codici di recupero che vi vengono proposti: sono la soluzione di estrema emergenza in caso di problemi.

2019/02/17 21:00

Avendo annunciato questo esperimento sia via Twitter sia durante la diretta del Disinformatico alla Radiotelevisione svizzera, ho ricevuto circa 200 mail di notifica di nuovi accessi di questo genere:


È interessante notare che Instagram avvisa del tentativo di accesso e fornisce parecchie informazioni sul possibile intruso: l’orario, il tipo di dispositivo o browser, la geolocalizzazione e (in alcuni casi) l’app utilizzata.

Dopo sette tentativi mi è arrivata una mail di avviso differente:

Ciao 123disinformatico,

qualcuno ha provato ad accedere al tuo account Instagram.

Se eri tu, usa il codice seguente per confermare la tua identità:

[omissis]

Se non eri tu, reimposta la tua password per proteggere il tuo account.

Qualcuno ha anche tentato di resettare la password, ma senza successo:

Hi 123disinformatico, We got a request to reset your Instagram password.

Reset Password

If you ignore this message, your password will not be changed. If you didn't request a password reset, let us know.

Nonostante il numero elevato di tentativi d’intrusione provenienti da vari luoghi e vari dispositivi, Instagram non mi ha buttato fuori dall’app, ma mi ha obbligato a reimpostare la password con questa schermata, dalla quale non potevo uscire senza cambiare password:


È interessante la segnalazione della disconnessione delle sessioni, che però non vale per il mio dispositivo principale (l’app è rimasta nell’account).

Oggi (dopo due giorni di “attacco”) ho cambiato la password come richiesto. Tutto è tornato a posto. Direi che la dimostrazione ha funzionato.

Continua la carrellata di disavventure degli utenti incauti che installano telecamere di sorveglianza o campanelli Nest e le configurano maldestramente.

Dopo l’hacker cortese che entra nella telecamera Nest e parla al proprietario per spiegargli come configurarla correttamente, Wired.com segnala che nei giorni scorsi decine di proprietari di queste telecamere hanno sentito “una voce incorporea che insisteva affinché si iscrivessero al canale Youtube di PewDiePie”.

Motherboard ha pubblicato un video con la dimostrazione di un attacco di questo tipo da parte di un intruso che ha trovato circa 300 telecamere vulnerabili nel giro di pochi minuti ed è riuscito a trovare le password di circa 4000 account Nest.



Domenica scorsa una famiglia californiana ha sentito in casa l’allarme nucleare che avvisava, in tutta serietà, che tre missili nordcoreani stavano per cadere su tre città americane ed è stata presa dal panico finché si è resa conto che l’allarme proveniva non dal televisore ma dalle telecamerine di casa.

A dicembre scorso una coppia è saltata giù dal letto quando ha sentito una voce sconosciuta dire parolacce nella cameretta del figlio e poi minacciare di rapirlo.

A ottobre 2018 qualcuno ha iniziato a parlare tramite una telecamera Nest con un bambino di cinque anni, chiedendogli se avesse preso lo scuolabus per tornare a casa e con quali giocattoli stesse giocando e intimandogli di stare zitto quando il bambino, saggiamente, ha chiamato la madre.

Non c’è niente di particolarmente vulnerabile nelle telecamere Nest: semplicemente sono fra le più vendute e quindi è inevitabile che siano coinvolte spesso in violazioni di sicurezza e privacy come queste. Il problema, come capita sovente in informatica, è l’utente.

L’utente che pensa “tanto non ho niente da nascondere” oppure “ma chi vuoi che prenda di mira proprio me, e anche se lo facessero cosa potrebbero fare?” e quindi usa per le proprie telecamere domestiche la stessa password che usa altrove e non attiva l’autenticazione a due fattori. Beh, questi sono solo alcuni esempi di quello che si può fare. Oltre, naturalmente, ad avere sconosciuti che vi guardano e ascoltano in casa.

Twitter sta avvisando i suoi utenti (circa 330 milioni nel mondo) che le loro password non sono state protette adeguatamente e sta invitando a cambiarle appena possibile per sicurezza.

Normalmente le password vengono custodite dai fornitori di servizi come Twitter usando sistemi di protezione (hashing) grazie ai quali neanche il fornitore sa o può vedere le password degli utenti ma può soltanto verificare se viene immessa la password corretta.

Ma Twitter si è accorta che c’era un difetto nei suoi sistemi, per cui le password di molti utenti venivano custodite anche in un file di log interno all’azienda, che le conteneva in formato non protetto.

Il difetto è stato corretto, secondo quanto annunciato dall’azienda, e non risulta che ci siano stati accessi indebiti a questo archivio di password. Twitter si limita a consigliare il cambio di password ma non lo obbliga.

Sottoscrivo il consiglio: andate a mobile.twitter.com/settings/password/ e cambiate la vostra password. Usatene una lunga e complessa, e soprattutto differente da quelle che usate altrove. Già che ci siete, cogliete l’occasione per attivare l’autenticazione a due fattori o verifica dell’accesso, come la chiama Twitter: le istruzioni ufficiali sono qui.

Gmail è usato da un miliardo di utenti, ma meno del 10% di questi usa la verifica in due passaggi per proteggersi contro i furti di password, secondo i dati resi pubblici recentemente da Google, nonostante siano ormai sette anni che questa funzione è disponibile su base volontaria.

Come mai sono così pochi, e perché Google non la rende obbligatoria? La spiegazione, a quanto pare, è che per molti utenti le varie opzioni di verifica in due passaggi sono troppo numerose e complicate: se gli utenti fossero obbligati, dice Google, finirebbero per non usare Gmail.

Il metodo più semplice per attivare questa verifica in due passaggi è andare a myaccount.google.com e scegliere Controllo sicurezza e poi Verifica in due passaggi: lì troverete le istruzioni dettagliate. Fatelo: è un antifurto molto efficace e non oneroso.

Ieri Instagram ha annunciato l’attivazione per tutti dell’autenticazione a due fattori, preannunciata a gennaio di quest’anno: per adottare questa protezione importante del proprio account basta andare nell’app di Instagram, toccare l’icona dell’omino in basso a destra, toccare l'icona in alto a destra (ingranaggio su iOS, tre puntini su Android), e poi toccare la voce Autenticazione a due fattori. Maggiori dettagli sono in questo mio articolo e nella guida di Instagram.

Un’altra novità di Instagram che verrà attivata progressivamente a tutti gli utenti sarà la sfocatura delle immagini e dei video che sono stati segnalati come sensibili dagli utenti ma comunque non violano le regole di Instagram. Questo dovrebbe ridurre il rischio di trovarsi di colpo sotto gli occhi immagini scioccanti o inadatte. Instagram mette a disposizione maggiori informazioni presso  instagram-together.com e nel Centro assistenza.

Ultimo aggiornamento: 2017/02/17 11:05.

WhatsApp ha finalmente attivato l’antifurto, o più precisamente la verifica in due passaggi: una tecnica contro il furto di account già adottata da tempo da Facebook, Instagram, Google, Apple e molti altri servizi di Internet. Questa verifica in due passaggi in gergo tecnico si chiama autenticazione a due fattori e risolve una lacuna di sicurezza importante, che consentiva finora a un aggressore di rubare un account WhatsApp sapendo soltanto il numero di telefonino della vittima e sfruttando alcune astuzie informatiche.

Per abilitare la verifica in due passaggi, che è disponibile sia per dispositivi iOS di Apple, sia per dispositivi Android di tutte le marche, andate nelle Impostazioni di Whatsapp, scegliete la voce Account e poi scegliete Verifica in due passaggi. Se non c’è, provate ad aggiornare l’app di WhatsApp: forse ne state usando una versione vecchia.


In questa voce Verifica in due passaggi scegliete Abilita.


 A questo punto immettete un codice di accesso a sei cifre, da tenere segreto...



...digitatelo una seconda volta per confermarlo, prendetene nota per non perderlo, immettete facoltativamente un indirizzo di mail da usare se vi dimenticate il codice numerico...



... e il gioco è fatto.


Questo codice numerico non vi verrà chiesto ogni volta che usate WhatsApp, ma solo ogni tanto, per evitare che ve lo dimentichiate. A parte questo, sarà necessario digitarlo soltanto quando cambiate smartphone o se volete aggiungere al vostro account WhatsApp un altro numero di telefono o un altro dispositivo. Cosa più importante, con questo antifurto un ladro informatico, per rubarvi l’account, dovrebbe conoscere il vostro codice e anche avere accesso a uno dei vostri dispositivi abilitati a usare WhatsApp: una situazione decisamente improbabile.

Se non avete un indirizzo di mail da affidare a WhatsApp, non c’è problema: l’antifurto funziona lo stesso. Per contro, se avete dato un indirizzo di mail a WhatsApp, fate attenzione se ricevete delle mail che contengono inviti a disabilitare questa verifica in due passaggi: se non le avete richieste voi, sono dei tentativi di furto che questa nuova protezione ha sventato.

La verifica in due passaggi può sembrare una complicazione inutile, ma provate a chiedere a qualcuno a cui hanno rubato l’account come si sente ora che i suoi messaggi e le sue foto sono visibili al ladro, che potrebbe usarli per ricattarlo.

Provate questa nuova misura di sicurezza: mal che vada, potete sempre disabilitarla, e potete farlo anche se non ricordate il codice numerico o l’indirizzo di mail che avete impostato: basta infatti rientrare nelle Impostazioni, scegliere Verifica in due passaggi e poi Disabilita.



Una volta tanto, insomma, avere maggiore sicurezza anche in WhatsApp è facile. Non approfittarne sarebbe davvero un peccato. E anche se secondo le indagini di Andrea Draghetti ci sono delle lacune importanti, questa novità è comunque un deterrente e un ostacolo in più per i malintenzionati opportunisti.


Fonte: The Hacker News.

Ultimo aggiornamento: 2019/08/03 23:55.

Ricordate il caso di Igor, un lettore del Disinformatico al quale avevano rubato l’account Instagram? Dopo averlo recuperato, gli è successo di nuovo. L’immagine qui accanto mostra una parte di quello che si è ritrovato come contenuto del proprio profilo e suggerisce le motivazioni del furto di account: nulla di personale, ma un semplice attacco a caso per sfruttare l’account come fonte di spam.

Colgo l’occasione per descrivere come attivare una misura di sicurezza supplementare sugli account Instagram: l’autenticazione a due fattori, introdotta sperimentalmente da Instagram a gennaio 2016 ma non ancora disponibile a tutti: se l’avete, vi consiglio di attivarla.

Parto dal presupposto che usiate password separate per l’account Instagram e quello Facebook (se ne avete uno) e che non usiate l’accesso a Facebook per autenticarvi su Instagram. Le istruzioni che seguono valgono per qualunque smartphone iOS o Android.

Alcuni lettori mi segnalano che l’autenticazione a due fattori non è disponibile nelle loro installazioni. Al momento non so quale sia la ragione di questa mancanza: nei tre account che ho testato, legati a numeri svizzeri e italiani su Android (screenshot qui accanto) e iOS, l’opzione c’è.

1. Aprite l’app di Instagram e cliccate sull’icona dell’omino in basso a destra.
2. Cliccate sull'icona in alto a destra (ingranaggio su iOS, tre puntini su Android).
3. Cliccate sulla voce Autenticazione a due fattori.
4. Attivate la voce Richiedi codice di sicurezza.
5. Vi viene chiesto di dare il numero di telefonino, se non l’avete già dato. Cliccate su Aggiungi numero e immettetelo.
6. Ricevete un codice di conferma: immettetelo.
7. Vi viene proposto di fare uno screenshot dei codici di backup. Cliccate su OK e lo screenshot viene effettuato automaticamente.
8. Ricevete una mail di conferma sull’indirizzo di mail che avete associato all’account Instagram.

Da questo momento in poi potrete accedere al vostro account Instagram dal vostro smartphone (quello di cui avete dato il numero) senza problemi e senza dare codici supplementari. Se invece tentate di accedere all’account da un altro dispositivo (e soprattutto se tenta di farlo qualcuno che vi ha rubato la password), Instagram invierà un codice temporaneo di sei cifre allo smartphone di cui avete dato il numero: l’accesso all’account verrà autorizzato soltanto digitando quelle sei cifre.

Instagram resta insomma utilizzabile senza problemi anche da più di un dispositivo nonostante l’attivazione dell’autenticazione a due fattori: l’ho verificato attivandola sul mio account (disinformatico) sul mio smartphone abituale e poi su un altro mio smartphone. Quando sono entrato nel mio account sul mio computer principale digitando la password dell’account, Instagram ha inviato al mio smartphone un codice temporaneo di accesso che ho dovuto immettere per poter accedere all’account.

Un altro metodo per avere l’autenticazione a due fattori su più dispositivi è descritto qui nella guida di Instagram.

Una volta autorizzato un dispositivo, su quel dispositivo non vi verrà più chiesto il codice di sicurezza; tuttavia il codice verrà chiesto nuovamente se modificate la password.

Consiglio a tutti di attivare questa autenticazione; già che ci siete, date anche un’occhiata a quali applicazioni avete autorizzato nel vostro account.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).



Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.