Ultimo aggiornamento: 2023/06/09 8:45.

Oggi (8 giugno) in Italia il partito Azione ha pubblicato questo tweet che propone “di vietare l'utilizzo agli under13 e la possibilità di accesso solo con il consenso dei genitori per gli under15, in linea con la normativa europea. L’età dovrà essere certificaita [sic] attraverso un meccanismo in grado di confermare in modo sicuro i requisiti e che potrà essere utilizzato anche per tutti gli altri siti a maggior rischio.”

Ragazzi e ragazze si iscrivono ai social a un'età sempre piu giovane e vi trascorrono in media fino a 5 ore al giorno. I danni che ne derivano sono depressione, disturbi dell'alimentazione e del sonno, cyberbullismo.
Proponiamo di vietare l'utilizzo agli under13 e la possibilità… pic.twitter.com/UP6wYTDr1R

— Azione (@Azione_it) June 8, 2023

La proposta è stata descritta da Azione in questo documento, la cui unica parte vagamente tecnica è questa, che già contiene una contraddizione: si dice che quando l’utente italiano chiederà di registrarsi a un social network verrà rimandato a un servizio di identità digitale, e poi si dice che “la proposta non avrà un impatto sul funzionamento dei social media”. Ma se si introduce questo rimando, allora l’impatto c’è eccome.

Gli anni passano, ma i politici proprio non riescono a mettersi in testa il concetto che la certificazione dell’età per usare i social network non si può fare e che non basta invocare un magico “meccanismo” per risolvere i problemi tecnici.

Ci siamo già passati di recente, per cui mi sono permesso di rispondere al tweet di Azione come segue.

Buongiorno, avete provato a consultarvi con gli addetti ai lavori prima di proporre questo divieto? Capisco le buone intenzioni, ma per l'ennesima volta si fanno proposte senza pensare a come si implementerebbero.

Queste sono le obiezioni degli esperti:

1. Introdurre un divieto significa trovare il modo di farlo rispettare, altrimenti è inutile. Farlo rispettare significa identificare gli utenti. Chi farà questo lavoro? Chi lo pagherà? Chi vigilerà contro abusi?

2. A chi affidiamo i dati dei minori? A Facebook, Twitter, Instagram, Tinder, Ask, Vkontakte, WhatsApp, Telegram? A quante aziende dovremmo dare i documenti dei nostri figli?

3. Pensate che un dodicenne non sappia come creare un account non italiano usando una VPN per simulare di stare all'estero? [I video su YouTube sono pieni di sponsorizzazioni da parte di una nota marca produttrice di VPN; il browser Opera ha una VPN gratuita incorporata]

4. L’anonimato online è un diritto sancito dalla Dichiarazione dei diritti in Internet, approvata all’unanimità a Montecitorio nel 2015. Lo ignoriamo?

5. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che non depositano un documento? E se un utente esistente si rifiuta di dare un documento, che si fa? E se il social network decide che non se la sente di accollarsi questo fardello tecnico immenso?

6. Se il documento andasse dato ai social network, significherebbe dare una copia di un documento d’identità ad aziende il cui mestiere per definizione è vendere i nostri dati.

7. Equivale a una schedatura di massa. Creerebbe un enorme database centralizzato di dati, attività e opinioni personali di milioni di cittadini, messo in mano a un’azienda o a un governo. E necessariamente consultabile da governi esteri.

8. Avete provato a parlarne con il Garante per la Privacy? La volta scorsa che qualcuno ha fatto una proposta analoga, la sua risposta fu questa [“Pensare di imbrigliare infrastrutture mondiali con una nostra leggina nazionale è velleitario e consegnare l’intera anagrafica a privati è pericoloso”]

9. C'è già adesso un limite di età indicato nelle condizioni d'uso dei vari social network. Chiaramente i social non riescono a farlo rispettare. In che modo pensate di riuscire a fare quello che società miliardarie non sono in grado di fare?

10. Suggerisco di non proporre SPID o altre certificazioni digitali di identità. Non solo milioni di utenti non le hanno e non le sanno usare, ma resterebbe il problema degli account esistenti.

Basta, per favore, con le proposte tecnicamente insensate.

11. Fare questo genere di proposte senza avere un piano tecnico già discusso con gli esperti rischia di essere un autogol. Capisco che "per salvare i bambini" sia uno slogan sempreverde, ma non è così che si salveranno i bambini. Le carriere politiche, forse. I bambini, no.

12. Gli esperti italiani non mancano. Sentiteli. Vi diranno che, per l'ennesima volta, la proposta è irrealizzabile.

Buon lavoro.

Lunedì 14 dicembre, intorno alle 13, quasi tutti i servizi di Google sono andati in tilt per circa 50 minuti. È bastata un’ora scarsa di disservizio per creare un’ondata di panico planetario, dovuto al fatto che milioni di utenti non riuscivano più a mandare mail, scrivere o consultare i propri documenti custoditi online nel cloud, sfogliare l’agenda di Calendar, guardare video su YouTube, gestire i propri assistenti vocali, consultare mappe e fare lezioni a distanza con Meet.

I servizi sono tornati alla normalità dopo appunto una cinquantina di minuti, secondo il resoconto pubblicato da Google, che spiega che avevano smesso di funzionare tutti i suoi servizi che richiedevano un’autenticazione tramite account. In effetti il motore di ricerca ha continuato a funzionare, e YouTube era consultabile tramite navigazione in incognito, ma qualunque servizio che richiedesse login e password di Google era inaccessibile.

Nelle ore successive ci sono stati problemi con Gmail, per cui molti account di posta risultavano inaccessibili e chi cercava di mandare mail a quegli account riceveva una risposta automatica del tipo “questo account non esiste” (un bel “550-5.1.1 The email account that you tried to reach does not exist.") 

La causa scatenante, dice sempre Google, è stata “un problema con il nostro sistema automatizzato di gestione delle quote che ha ridotto la capacità del sistema centrale di gestione delle identità”.

Non è il primo blackout del genere: Downdetector ne ha catalogati parecchi quest’anno, anche se non così vasti, e Wikipedia nota che un’altra sospensione dei servizi primari di Google è avvenuta ad agosto 2020 e che anche l’11 novembre scorso si è verificato un blocco simile.

Ci sono un paio di lezioni da portare a casa a proposito di questo incidente.

La prima è sicuramente che siamo enormemente dipendenti da Google e che è meglio preparare un piano d’emergenza che consenta di continuare a operare almeno in forma ridotta se Google va in tilt. Il vostro impianto luci o di riscaldamento domotico è comandabile anche senza passare per Google? Dipendete dal vostro assistente vocale Google Home per qualche funzione importante (penso ai disabili o a chi ha mobilità ridotta per infortunio o malattia, per esempio)? La vostra azienda o scuola è paralizzata se i servizi di Google non funzionano? Procuratevi un Piano B.

I’m sitting here in the dark in my toddler’s room because the light is controlled by @Google Home. Rethinking... a lot right now.

— Joe Brown (@joemfbrown) December 14, 2020

It’s when google is down and you can’t heat your home that you realise how scarily reliant you are on google

👀 pic.twitter.com/9lsk0c6kRN

— Alex Dunsdon (@alexdunsdon) December 14, 2020

Senza arrivare a questi livelli estremi, vale la pena di cogliere l’occasione per chiedersi se è davvero una buona idea usare la login di Google per accedere a servizi di altri fornitori. Certo, è comodo, ma se Google si blocca diventa impossibile accedere non solo ai servizi di Google ma anche a tutti quelli di altri fornitori che dipendono dalla login di Google. Meglio avere account separati per ogni fornitore.

La seconda lezione è che conviene sapere dove reperire informazioni su questi blackout, in modo da capire rapidamente se il problema è nostro o esterno e agire di conseguenza (anche soltanto per mettersi il cuore in pace). Ho già citato Downdetector, disponibile anche su Twitter e Facebook e con sezioni separate per i singoli paesi, come Allestörungen.ch per la Svizzera o Downdetector.it per l’Italia), tenete presente la Dashboard dello stato di Google Workspace, presso

http://www.google.it/appsstatus#hl=it&v=status

La terza lezione è, come spiega bene Stefano Zanero, che fare congetture o ipotizzare attacchi informatici o complotti è una perdita di tempo:

Lo scrivo a beneficio di giornalisti e commentatori italiani: chi in Google conosce i motivi del disservizio, ovviamente non ne può parlare. Chi ne parla, non ne sa una mazza (e considerando la complessità della tecnologia in qualsiasi GAFAM, non può nemmeno tirare a indovinare).

— Stefano Zanero (@raistolo) December 14, 2020

 

Fonti aggiuntive: Gizmodo, BBC, ANSA, The Register.

Pubblicazione iniziale: 2019/11/01. Ultimo aggiornamento: 2022/10/12 11:10.

La recente proposta di un deputato e responsabile economico di un movimento politico italiano, Luigi Marattin (@marattin), di obbligare “chiunque apra un profilo social a farlo con un valido documento d’identità”, usando poi eventualmente un nickname, allo scopo di contrastare la violenza verbale, il razzismo e l’odio online, a prima vista sembra sensata e ragionevole, ma non lo è.

Ci siamo già passati un annetto fa, ma evidentemente serve un ripasso.

Ecco, in sintesi, perché la proposta non funziona ed esperti come Stefano Zanero (anche qui) e Massimo Mantellini la criticano duramente e la definiscono schiettamente “una cretinata” e il Garante per la Privacy italiano ha usato aggettivi come “velleitario” e “pericoloso” per descriverla.

1. Gli hater esteri non sarebbero toccati. Una legge nazionale avrebbe efficacia solo nel paese che la emanasse. Qualunque utente di qualunque altro paese sarebbe libero di continuare come prima. Se anche la si estendesse all’Europa, chi non vive in Europa non ne sarebbe toccato.

2. Gli hater non si nascondono dietro l’anonimato: ci mettono nome e cognome già adesso. Lo ha fatto lo stesso Marattin. Spessissimo chi fa bullismo o odio online è ben conosciuto dalla vittima. 

 

3. Gli unici penalizzati sarebbero coloro che hanno bisogno dell’anonimato per proteggersi, come le donne maltrattate che vogliono sfuggire ai loro torturatori online e lo possono fare solo se restano anonime o usano pseudonimi fortemente protetti.

4. L’anonimato online è un diritto sancito dalla Dichiarazione dei diritti in Internet, approvata all’unanimità a Montecitorio nel 2015.
Art.10: “Ogni persona può accedere alla Rete e comunicare elettronicamente usando strumenti anche di natura tecnica che proteggano l’anonimato ed evitino la raccolta di dati personali, in particolare per esercitare le libertà civili e politiche senza subire discriminazioni o censure”.

5. Gestire i documenti d’identità di milioni di utenti costa ed è complicato. Gli italiani su Facebook i sono circa 29 milioni. Ciascuno dovrebbe depositare un documento. Chi paga? Chi organizza? Chi verifica? Chi custodisce i dati, vista la facilità con la quale vengono rubati?

6. Cosa si fa per gli account esistenti? Li sospendiamo in massa fino a che non depositano un documento? E se un utente esistente si rifiuta di dare un documento, che si fa? E se il social network decide che non se la sente di accollarsi questo fardello tecnico immenso?

7. Che si fa con i turisti? Cosa succede a un turista che arriva nel paese e vuole usare il suo account social? Deve prima depositare un documento? Chi controlla se lo fa o no? E come fa a controllare? Se non lo fa, quali sarebbero le conseguenze? Lo si deporta?

8. La procedura andrebbe ripetuta per ogni social network e per ogni spazio digitale pubblico. Facebook, Twitter, Instagram, Tinder, Ask, Vkontakte, WhatsApp, Telegram... più tutti gli spazi di commento dei giornali e dei blog. A quante aziende dovremmo dare i nostri documenti?
A che titolo un blogger dovrebbe gestire i dati personali dei propri commentatori? Forse si potrebbe attenuare il problema dando il documento solo a un ente che rilascia un codice di autenticazione da dare ai vari social, ma resterebbe una trafila con tutti i problemi già citati.

9. Se il documento andasse dato ai social network, significherebbe dare una copia di un documento d’identità ad aziende il cui mestiere è vendere i nostri dati.
E no, non è come dare la carta d’identità a un operatore telefonico per aprire un’utenza cellulare: l’operatore è soggetto alle leggi europee sulla privacy e non ha come scopo commerciale la vendita dei fatti nostri.
E non è come lasciare un documento alla reception dell’albergo: in realtà non lo si lascia, ma si viene identificati dal portiere tramite il documento, e i dati vengono raccolti dalla polizia quotidianamente, non finiscono in un gigantesco database gestito da privati, come spiega Stefano Zanero.
Anche qui, come al punto precedente, questo problema potrebbe essere attenuabile mettendo in mezzo un ente di autenticazione nazionale, ma la trafila resterebbe.

10. Significherebbe delegare ad aziende estere la certificazione della nostra identità. Siamo sicuri che per esempio Facebook, quella di Cambridge Analytica, sia un’azienda alla quale affidare la garanzia di chi siamo?
Quali sanzioni ci sarebbero se Facebook si facesse scappare i nostri dati d’identità? E una volta scappati, che si fa? Mica possiamo cambiare tutti faccia e nome.

11. Equivale a una schedatura di massa. Creerebbe un enorme database centralizzato di dati, attività e opinioni personali di milioni di cittadini, messo in mano a un’azienda o a un governo. E necessariamente consultabile da governi esteri.

12. Equivale a introdurre l’obbligo di presentare un documento d’identità per spedire una lettera. Sì, perché minacce e odio si possono mandare anche con lettere anonime. Ma nessuno chiede obblighi di identificarsi per spedire cartoline o scanner d’identità accanto a ogni cassetta postale.
Perché per Internet dovrebbe essere diverso?

13. È facile procurarsi scansioni di carte d'identità altrui. Ci sono software appositi per crearle e ci sono i furti in massa di scansioni di documenti reali. Questo permetterebbe agli hater di dare a qualcun altro la colpa delle proprie azioni, con tanto di “certificazione”.

14. È dannatamente facile usare una VPN o Tor per creare account apparentemente esteri. Gli hater imparerebbero in fretta come fare. Molti lo sanno già fare.

15. Sarebbe facilissimo, per un hater, farsi aprire da terzi un account all’estero, dove non vige l’obbligo, e poi usarlo. Come farebbero le autorità ad accorgersene? Sorvegliando tutte le attività online di tutti?

16. È inutile introdurre questo obbligo se le forze di polizia e di giustizia sono insufficienti già adesso per perseguire i casi di bullismo o molestia nei quali nomi e cognomi sono già perfettamente noti.
Avere in archivio la carta d’identità non ridurrà la coda di pratiche inevase: per questo serve più personale, non una legge in più.

17. Esistono già ora procedure tecniche e giuridiche che consentono di identificare gli hater. Ma gli hater non vengono quasi mai perseguiti perché non c’è personale inquirente o giudiziario sufficiente, o perché i costi sono altissimi, non perché non si sa chi sia il colpevole.

---

Per i tanti che hanno criticato gli esperti, lamentando che sanno solo criticare ma non fanno proposte concrete: a volte capita di non avere una soluzione a un problema, ma di essere in grado di dire quali azioni non lo risolvono. Se un malato di cancro pensa di guarire prendendo un unguento magico da diecimila euro a dose, un medico magari non sa come guarirlo, ma sa che quell’unguento non farà nulla.

In ogni caso, le proposte concrete ci sono: sono quelle negli ultimi due punti.

Per chi invece argomenta “Ma se non dici niente di male e sei una brava persona, non hai niente da temere da un’identificazione obbligatoria”: se sono una brava persona, perché mi si vuole schedare?

Per tutti quelli che dicono “Ma qualcosa bisogna pur fare!”: certo, ma fare qualcosa non significa agire di pancia seguendo la prima idea che viene lanciata. Significa ragionare, sentire gli esperti, e poi procedere seguendo i loro suggerimenti.

Siamo tutti d’accordo nel voler rendere Internet più pulita. Ma questa proposta è come cercare di spurgare una fogna con un colapasta.

---

2022/05/18 15:10. In particolare per il punto 16 (insufficienza delle forze di polizia e di giustizia), segnalo l’esperienza dell’amico e collega David Puente, raccontata in una serie di tweet:

Penso a quanti "anonimi conigli" ho denunciato, individuando e provando la loro identità, per poi trovarmi un Pm che richiede l'archiviazione. Non perché mancano le prove per dimostrare l'identità, ma perché non viene ritenuto un fatto da perseguire. 🧵👇

Faccio alcuni esempi. Il signor Stefano P. aveva pubblicato in un gruppo Facebook (per niente piccolo e con tante interazioni) un commento dove mi definiva "quello che pur di difendere il governo (da cui è pagato) si venderebbe pure la madre". Come è andata la denuncia?

Il Pm non ha chiesto l'archiviazione perché il soggetto non è stato identificato. La decisione è arrivata dopo che l'indagato è stato interrogato! Talmente assurdo che con un Pm del genere neanche faccio opposizione. Da 1 a 10, quanto il signor Stefano P. si sente intoccabile?

Il Pm che ha chiesto l'archiviazione farebbe altrettanto se Stefano P. pubblicasse un commento simile nei suoi confronti?  Non è l'unico esempio, ne ho molti altri simili e le racconto quello di due persone parecchio seguite sui social, non di "Tontolina68".

Un complottista di una città del Sud, per niente sconosciuto, pubblica diversi post nel suo canale Telegram (molto seguito) dove mi diffama pesantemente. Quei testi sono stati copiati e incollati dai suoi seguaci su Facebook. Una schifosa shitstorm che non ho tollerato.

Vengo chiamato per rispondere alle domande del Pm, il quale mi chiede come avevo individuato l'identità dell'accusato. Faccio presente che tale personaggio pubblica il suo volto nel canale, il suo profilo Facebook è pubblico ed è noto per fatti di cronaca nazionali.

Mi viene richiesto uno screenshot "più dettagliato" del post dove vengo diffamato. Avevo fornito anche il link del post Telegram, ancora oggi pubblico, ma rendetevi conto che i miei legali avevano ottenuto anche l'acquisizione digitale forense (che ha un costo).

Cosa potrebbero inventarsi per non procedere? Se anche questo Pm chiederà l'archiviazione sarà l'ennesimo caso in cui un non anonimo e i suoi seguaci (non anonimi) si sentiranno liberi e legittimati di diffamare chiunque.

Nel corso della pandemia abbiamo assistito alla diffusione di messaggi diffamatori e violenti da parte di personaggi che si sono mostrati in volto su Youtube, ottenendo milioni di visualizzazioni per i loro video. C'era chi sosteneva e auspicava atti di violenza e omicidi.

Uno di questi ha fatto un video dove mostrava il luogo dove dovrei essere sepolto. @CarloCalenda, ho denunciato la scorsa estate questo individuo e i suoi seguaci che per due anni (ho fatto integrazione nel 2022) hanno diffuso messaggi del genere contro di me e altre persone.

Ci sarà la richiesta di archiviazione? Cosa succede se uno di questi vive all'estero? Può immaginare tutte le difficoltà da affrontare in questo caso, nel frattempo un suo seguace squilibrato potrebbe decidersi di passare all'azione (non virtuale) contro di me o altre persone

@CarloCalenda, lei e altri politici italiani potete sostenere quanto volete l'assurda proposta dell'obbligo di registrarsi con identità verificata, ma non risolverete mai il problema in questo modo. Cafoni e delinquenti si sentono forti e ben difesi, pur mostrando il volto.

Non solo non risolverete il problema, ma rischiate di crearne altri come hanno spiegato o le potrebbero spiegare @disinformatico, @lastknight, @raistolo, @faffa42 e tanti altri che conoscono molto bene questo tema. Ecco perché la sua proposta non la condividerò mai e poi mai.

I nomi delle persone che ho denunciato? Voglio prima vedere se verrà richiesta l'archiviazione o se si deciderà di procedere. Per fortuna non tutti la passano liscia, sia chiaro, ma il problema non è l'identità.

Quelle che potete sentire qui su Lyrebird.ai o qui sotto non sono le classiche voci-parodia di personaggi famosi (in questo caso Barack Obama, Donald Trump e Hillary Clinton), generate rimontando ad arte dei pezzi di loro frasi effettivamente pronunciate: sono completamente sintetiche. A Lyrebird basta anche un solo minuto di voce registrata per creare una copia che imita tutte le caratteristiche identificative di una persona. Da questa copia è possibile generare qualunque frase.


Le implicazioni di autenticazione e di identità di un servizio del genere sono impressionanti. Di questo passo non potremo più fidarci di una voce sentita al telefono, per esempio, i sistemi di autenticazione basati sul riconoscimento del timbro di voce saranno inattendibili e potremmo trovarci presto a conversare con dei chatbot che fingono di essere la persona con la quale vorremmo parlare (Be Right Back di Black Mirror si avvera sempre più, insomma); per contro, i contratti fatti per telefono potrebbero non essere più legali (il venditore potrebbe aver creato la mia voce) e potremmo anche sentire i film doppiati con le voci degli attori originali che miracolosamente parlano la nostra lingua.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (con Paypal, regalandomi una ricarica telefonica dati o pescando dalla mia wishlist su Amazon) per incoraggiarmi a scrivere ancora.

Erano mesi che rimuginavo di farlo e finalmente mi sono deciso ad affrontare la trafila dell’autenticazione di Twitter per far diventare @disinformatico un “account verificato”. In passato era Twitter che decideva se offrire o meno la verifica (il bollino azzurro accanto al nome), ma da qualche tempo la procedura è stata aperta a tutti. Ecco com’è andata.


2016/12/11. Il primo passo, naturalmente, è stato trovare la pagina di richiesta di verifica account e leggere attentamente la relativa pagina di spiegazione.

Il primo tentativo di compilare la richiesta è fallito miseramente: non avevo mai messo la data di nascita nel mio profilo. L’ho aggiunta, impostandola in modo che sia visibile solo a me, visto che la data di nascita è uno dei criteri di “autenticazione” utilizzato spesso dai servizi commerciali poco furbi (anche di grandi aziende).

Il secondo tentativo è andato un po’ meglio: mi è stato chiesto di citare almeno due siti che permettano a Twitter di identificarmi. Ne ho messi cinque, insieme alla spiegazione delle ragioni per le quali credo che questo account debba essere verificato e a una foto della mia patente di guida (che, mi dice Twitter, verrà distrutta dopo la procedura; la foto, non la patente).



Poi ho confermato il tutto, dichiarando di garantire personalmente l’autenticità dell’account.



La risposta di Twitter è stata questa: hanno confermato di aver ricevuto la richiesta e che l’avrebbero esaminata, rispondendo con il verdetto via mail.


A questo punto dovevo solo attendere che arrivasse una mail di Twitter con la decisione: se fossi stato rifiutato, avrei potuto ritentare 30 giorni dopo aver ricevuto il rifiuto; se fossero servite ulteriori informazioni o modifiche all’account, avrei potuto ritentare subito dopo aver fornito il necessario.


2016/12/15. Stamattina mi è arrivato un tweet di congratulazioni da @verifiedstats di Twopcharts.com e così ho scoperto di aver ricevuto il bollino blu di “autenticazione”.


Poi ho controllato la mail e ho visto che era appena arrivata una mail da Twitter che mi informava di questa novità e mi consigliava di visitare la pagina informativa dedicata alle funzioni riservate agli account verificati (niente di speciale, solo dei filtri aggiuntivi e un’impostazione per disattivare i messaggi diretti di gruppo) e a qualche precauzione di sicurezza supplementare, visto che gli account verificati fanno gola ai ladri. C’è anche un monito: l’autenticazione è revocabile.

Bene! È stato più facile del previsto. Fatta anche questa, torno a lavorare come prima.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).



Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.

Alcuni siti (per esempio Repubblica) hanno annunciato con toni di certezza la messa in vendita nei bassifondi di Internet di un elenco di oltre 32 milioni di password di Twitter, causando un certo panico fra gli utenti di questa piattaforma di microblogging, ma gli esperti hanno molti dubbi sulla qualità dell’offerta illecita, il cui prezzo è molto basso per gli standard del settore: circa 5000 dollari.

La fonte originale della notizia è Leakedsource.com, un sito che si offre come servizio di verifica di furto di password: si immette il nome utente del proprio account e si viene avvisati se la password dell’account è presente nelle varie collezioni di password rubate circolanti in Rete. LeakedSource dice di aver verificato soltanto 15 password presenti nell’elenco di quelle rubate di Twitter, ma tutte e quindici sono risultate autentiche.

Tuttavia è improbabile, a detta degli esperti, che l’elenco contenga davvero 32 milioni di password attualmente valide, perché Twitter protegge le password degli utenti conservandole soltanto in forma pesantemente cifrata (hash con bcrypt), che richiederebbe tempi e potenze di calcolo impraticabili per decifrarne 32 milioni in caso d’incursione nei server di Twitter. L’azienda ha comunque inviato un invito di cambio password ad alcuni milioni di utenti dopo aver rilevato che le loro password erano in circolazione.

Lo scenario più probabile è che non sia stato violato Twitter ma che siano stati violati gli utenti, per esempio perché hanno computer infetti. In ogni caso, se avete un account Twitter, è opportuno fare due cose:

– non fidarsi di inviti a cliccare su un link per aggiornare la vostra password. I ladri di password approfittano spessissimo di notizie come questa per mandare messaggi falsi che sembrano provenire dal gestore del servizio (in questo caso Twitter, appunto) ma in realtà portano a siti-clone, identici a quelli del servizio ma in realtà gestiti dai truffatori. Se volete aggiornare la password di un servizio, accedete al sito del servizio manualmente, scrivendone il nome.

– attivare la verifica in due passaggi, che vi salva in caso di furto di password: attivando questa verifica, infatti, la password funziona soltanto se viene immessa usando uno dei vostri dispositivi. Se un ladro vi ruba la password e la immette in uno dei suoi, gli viene negato l’accesso e ricevete un’allerta via SMS o in altro modo.

Su Twitter la verifica in due passaggi si attiva andando a https://twitter.com/settings/security e attivando la voce Verifica d’accesso. Già che ci siete, attivate anche le opzioni Richiedi informazioni personali per reimpostare la password e Richiedi sempre la password per accedere al mio account.

Pochi giorni fa l’account Twitter di Katy Perry, che ha quasi 90 milioni di seguaci ed il più seguito al mondo è stato violato, pubblicando messaggi offensivi e un link a quella che parrebbe essere una canzone inedita della cantante. I gestori di Twitter sono intervenuti rapidamente e hanno ripreso il controllo dell’account. È stata una brutta figura (ma anche pubblicità gratuita) per Katy Perry, ma poteva andare molto peggio.

L’intruso, infatti, avrebbe potuto pubblicare link a siti-trappola per rubare password oppure per infettare i dispositivi degli utenti. Questi link sarebbero arrivati a 90 milioni di utenti, offrendo quindi un canale diretto a un bersaglio vastissimo per mettere a segno attacchi, spamming e truffe di ogni genere. Chi ha un account molto popolare, su qualsiasi social network e non solo su Twitter, deve quindi mettere in preventivo che verrà attaccato e ha una responsabilità molto importante nel proteggere i propri utenti.

Per gestire bene questa responsabilità è indispensabile usare almeno la sicurezza di base fornita dal social network. Nel caso di Twitter, attivate l'opzione Verifica le richieste d'accesso.

Se usate TeamViewer, la popolarissima applicazione per il controllo remoto e la manutenzione dei computer, fate attenzione: l’azienda è stata attaccata e anche molti utenti hanno subìto incursioni che hanno sottratto password e soldi.

Secondo The Register, utenti Windows e Mac si sono visti togliere il controllo remoto dei computer usando Teamviewer. Alcuni attacchi hanno avuto successo nonostante l’uso di password ben costruite e dell’autenticazione a due fattori.

Le prime indagini indicano che gli aggressori hanno preso di mira gli account Web degli utenti di TeamViewer e li hanno usati per collegarsi ai computer di questi utenti, prendendo il controllo dei browser per vuotare conti PayPal, accedere alla mail e fare acquisti su Amazon e eBay. Molte segnalazioni sono su Reddit. Ci sono casi di furto di alcune migliaia di dollari trasformati in buoni acquisto e quindi difficili da tracciare e recuperare; altri utenti denunciano di aver perso il controllo dei server che gestivano remotamente. Considerato che TeamViewer è usatissimo anche per comandare impianti a distanza, il pericolo non è banale.

Come se non bastasse, ieri il sito di TeamViewer è diventato inaccessibile per circa tre ore, per cui gli utenti non erano in grado di connettersi da remoto ai propri computer. L’azienda dice che la sua sicurezza non è stata violata e che invece la colpa è degli utenti che hanno “usato con trascuratezza” le password, per esempio usando su TeamViewer delle password che usavano anche altrove, per esempio su siti violati come LinkedIn e Tumblr. TeamViewer ha dichiarato di essere stata attaccata da un denial of service sui propri server DNS, ma insiste che la sua sicurezza non è stata violata.

Se usate Teamviewer, verificate di usare password non ovvie e non usate altrove. Se possibile, attivate l’autenticazione a due fattori e le altre restrizioni di sicurezza sulle connessioni.

WhatsApp ha attivato pochi giorni fa la crittografia end-to-end, rendendo molto più difficile intercettare le comunicazioni durante il tragitto fra un telefonino e l’altro. È un’ottima novità per la sicurezza, ma ha creato un po’ di confusione fra gli utenti. Provo a fare chiarezza e rispondere pubblicamente alle tante domande che mi sono arrivate.

Prima di tutto, una volta tanto per attivare la protezione della crittografia non è necessario fare nulla, a parte scaricare la versione più recente dell’app. Non capita spesso che la sicurezza venga aumentata senza richiedere qualche fatica agli utenti.

Si può fare anche di più. Per esempio, due interlocutori che si conoscono di persona possono autenticarsi reciprocamente per essere sicuri delle rispettive identità quando si ritrovano online: è a questo che serve quel codice QR che compare toccando il nome dell’interlocutore in una chat e scegliendo Crittografia. Per usarlo, ci si incontra fisicamente e si mostra questo codice al telefonino dell’altra persona, sul quale gira WhatsApp impostato allo stesso modo ma con l’opzione Scannerizza codice, che appunto legge il codice QR.

Ma è necessario usare questo codice? No: la crittografia di base funziona comunque. Questa ulteriore garanzia serve per tutelarsi, per esempio, da un malintenzionato che ha rubato la SIM all’interlocutore e la usa per impersonarlo. Con questo scambio di codici si viene avvisati che forse si sta comunicando con un impostore. Ricordate di andare nelle Impostazioni e attivare la voce Mostra notifiche di sicurezza e di ripetere questa identificazione con tutti i vostri contatti, se possibile.

Questo vuol dire che le comunicazioni di WhatsApp ora sono impossibili da intercettare e quindi si può dire qualunque cosa impunemente? Assolutamente no. Sui telefonini dei partecipanti a una chat rimane comunque una copia delle conversazioni e un’altra è solitamente salvata su Google Drive (per gli smartphone Android) o su iCloud (per gli smartphone Apple), e comunque WhatsApp tiene traccia di chi ha comunicato con chi e quando lo ha fatto (i metadati).

La password che usiamo nelle reti di gioco sembra una di quelle misure di sicurezza tediose e superflue che gli informatici tendono a imporci senza motivo, ma da Valve, produttore della popolarissima piattaforma software di gioco Steam (100 milioni di utenti), arriva un allarme serio: i furti di account stanno aumentando rapidamente e sono arrivati ormai a circa 77˙000 al mese. “Quelli che erano un piccolo numero di hacker oggi sono una rete organizzata, altamente efficace, che per lavoro ruba e rivende oggetti”.

Gli oggetti sono quelli virtuali dei videogiochi: livelli, poteri, armi, skin e altri elementi che vengono letteralmente rubati e commerciati e che all'interno di giochi come Team Fortress 2 e Counter-Strike: GO possono avere un valore monetario sorprendentemente alto. Rubare la password di un account è quindi molto remunerativo per i criminali informatici.

Come rimediare? A parte l’uso preventivo di password robuste e dell’autenticazione a due fattori, Valve terrà in sospeso gli oggetti commerciati, e lo farà per un massimo di tre giorni: un tempo, si spera, sufficiente per permettere all’utente derubato di accorgersi del furto e della violazione del proprio account. Se gli utenti sono amici questa sospensione sarà più breve.


Fonti: Ars Technica.

La violazione degli account iCloud di molte celebrità resa nota a settembre scorso ha già spinto Apple ad attivare l'autenticazione a due fattori (o “verifica in due passaggi”, come viene chiamata spesso) su iCloud, migliorando la protezione delle foto e di altri dati personali salvati nel cloud di Apple.

In pratica si va alla pagina di gestione dell'Apple ID e si attiva l'invio di un codice supplementare via SMS. Se qualcuno ruba la password e tenta di usarla per accedere all'account da un suo dispositivo (diverso da quelli dell'utente legittimo), all'utente arriva un SMS contenente un codice temporaneo: se non viene immesso questo codice oltre alla password non è possibile accedere all'account.

Restavano però sguarniti FaceTime e iMessage, ma ora Apple sta attivando quest'autenticazione anche per queste parti importanti dei propri servizi: in pratica se avete già attivato la verifica in due passaggi sul vostro account iCloud non dovete fare nulla. Quando accederete ad iMessage o FaceTime su un dispositivo nuovo, vi verrà chiesto di generare una password supplementare. Il servizio è un po' ruspante e bisognoso di una limatina, ma è un buon passo nella direzione giusta.

La pubblicazione delle foto intime private di celebrità, sottratte in gran parte dai loro iPhone, può essere un buon incentivo a migliorare le difese degli account Apple anche per chi non è una celebrità.

Apple offre sui suoi account la verifica in due passaggi (o, in gergo, l'autenticazione a due fattori), che rende più difficile questo genere di violazione perché obbliga l'aggressore ad avere non solo la password della vittima ma anche un accesso fisico ai suoi dispositivi (oppure a usare forme d'attacco molto più sofisticate e impegnative). Questo scoraggia i tentativi di furto fatti a distanza, via Internet, che sono la minaccia più diffusa.

Per attivare questa verifica in due passaggi occorre muoversi prontamente, perché c'è un periodo di attesa di tre giorni, per motivi di sicurezza, fra quando fate la richiesta e quando potete effettuare l'attivazione vera e propria.

Il primo passo è andare ad Appleid.apple.com (preferibilmente su un computer, non un tablet o smartphone) e cliccare su Gestisci il tuo ID Apple. Vi viene chiesta la vostra password: immettetela.

Scegliete la sezione Password e sicurezza. Apple vi chiede di rispondere alle domande di sicurezza: dato che si tratta di domande sulla vostra identità che qualcuno potrebbe conoscere o farvi rivelare con l'astuzia (sono domande del tipo “Come si chiamava il tuo migliore amico a scuola?” o “Dove si sono conosciuti i tuoi genitori?”), date delle risposte fasulle, non reali, e segnatevele da qualche parte.

Dopo che avete cliccato su Continua, compare la sezione Verifica in due passaggi. Cliccate su Inizia, leggete le spiegazioni e poi cliccate su Continua due volte e poi su Inizia. A questo punto vedete un avviso che vi dice che c'è, come accennato, un periodo di attesa di tre giorni prima di poter attivare la verifica in due passaggi.

Allo scadere dei tre giorni ricevete una mail di promemoria da Apple. A questo punto tornate ad Appleid.apple.com e ripetete la procedura: stavolta vi viene chiesto di aggiungere un numero di telefonino al quale ricevere gli SMS di verifica. Può essere il vostro o quello di una persona di cui vi fidate. Il massimo della sicurezza (o della paranoia) è usare un numero di telefonino apposito segreto, diverso da quello che usate pubblicamente.

Apple invia immediatamente a quel numero un SMS contenente un codice a quattro cifre: immettetelo nella schermata di AppleID. Volendo, potete usare anche un altro dispositivo associato allo stesso account, per esempio un iPad.

Cliccando su Continua vi viene affidata una chiave di recupero, ossia un codice d'emergenza. Questa chiave è fondamentale e va stampata o conservata digitalmente in un luogo sicuro (non sul computer, sul tablet o sul telefonino) e va reimmessa subito per confermare che l'avete conservata correttamente.

Nella schermata successiva, confermate le condizioni del servizio e cliccate Attiva la verifica in due passaggi.

Da questo momento in poi, per gestire il vostro account Apple dovrete avere a disposizione almeno due dei seguenti tre fattori: la vostra password, uno dei dispositivi che avete associato a questo account e la chiave di recupero. Questo renderà la vita molto più difficile agli aspiranti ladri di dati. Cliccate su Fine e il peggio è passato.

Una volta fatta quest'attivazione, le scocciature aggiuntive sono minime: vi verranno chiesti i due fattori (e riceverete un SMS con un codice temporaneo) se tentate di modificare il vostro account (o se qualcuno tenta di farlo al posto vostro) o se effettuate acquisti su iTunes o App Store da un dispositivo non associato: quelli associati, invece, vi chiederanno soltanto la password, come al solito.

Eccolo qui da scaricare. I temi:

• Antibufala: il PowerPoint che aiuta Qian Hongyan, bimba senza gambe
• Il papà delle immagini GIF dice che si pronunciano “JIF”
• Regole per il WiFi sicuro
• Twitter ha finalmente l’autenticazione a due fattori, ma non per tutti
• Le parole di Internet: steganografia sociale

Questo articolo vi arriva grazie alla gentile donazione di “msalmi86” ed è stato aggiornato dopo la pubblicazione iniziale.

Stordito dalla tecnologia.

Se siete fra coloro che credono che la democrazia diretta realizzata tramite Internet sia la soluzione a tutti i problemi del mondo, porto dal Festival del Giornalismo una dose di realtà che vi consiglio di assumere, perché la democrazia diretta digitale rischia invece di essere lo strumento perfetto per la dittatura e la manipolazione.

Questa è, a mio avviso, una delle idee più interessanti emerse dal panel “Hacktivismo e sorveglianza digitale: le rivoluzioni combattute in rete” di Fabio Chiusi (blog ilNichilista), Arturo Filastò (Centro Hermes), Giovanna Loccatelli (giornalista e scrittrice) e Dlshad Othman (attivista siriano), il cui video è su Youtube. Guardatevelo tutto per i dettagli, ma il concetto di fondo è questo (eventuali errori nella sintesi sono miei): in vari paesi ci sono movimenti politici che vedono nell'uso di Internet la chiave per sovvertire il sistema e istituire una democrazia diretta, snella ed efficiente, priva delle storture e corruzioni della democrazia rappresentativa.

L'idea è nobile, ma come tante idee nobili è lontana dalla realtà pratica, perché gli attuali strumenti informatici sono troppo vulnerabili e gli utenti sono troppo incompetenti per usarli in modo sicuro. Per cui chi volesse sabotare queste iniziative avrebbe il gioco tremendamente facile, non solo per bloccarle ma addirittura per usarle a proprio favore.

Supponiamo che un governo voglia introdurre la DDD (democrazia diretta digitale). Si può pensare seriamente che un voto elettronico, implementato sui PC appestati di virus e vulnerabilità degli utenti, sia sicuro più di un voto cartaceo al seggio? Si può pensare che chi ha ancora difficoltà a capire come si compila una scheda elettorale, fa fatica a non farsi fregare la password di Facebook e chi, peggio ancora, non ha alcuna dimestichezza con i computer possa seriamente destreggiarsi fra software di autenticazione del voto, sicurezza fisica del dispositivo informatico e sistemi di garanzia dell'identità delle sue opinioni postate nelle discussioni? No, vero?

Supponiamo, per contro, che un governo (o un aspirante dittatore) voglia sabotare un tentativo di adozione della DDD. Diffondere un trojan che infetti i PC dei partecipanti al movimento per la DDD sarebbe una passeggiata: basterebbe mascherarlo, che so, da serie di foto della presidente del consiglio in tenuta da nudista (lo so, lo so, l'idea non è originale). A quel punto rubare l'identità di un utente, magari non di un semplice elettore qualunque, ma di un esponente importante di un movimento politico, e postare a nome suo nei forum idee sballate ma credibili che lo screditino sarebbe quasi automatico.

Paradossalmente, il sistema di autenticazione pensato per garantire l'identità online sarebbe quello che autenticherebbe (apparentemente) le parole di suicidio politico del leader. Tutti i membri del movimento si fidano della DDD perché l'ha proposta il Caro Leader. Ergo, se il Caro Leader dice qualunque cretinata usando la DDD, dev'essere davvero lui che la dice.

Sovvertire il risultato di un voto effettuato con gli attuali strumenti di DDD sarebbe altrettanto banale: lo stesso trojan potrebbe votare al posto dell'elettore o trasmettere al “seggio” digitale un voto falsificato (man in the middle). Faccio fatica a vedere un sistema di voto elettronico affidabile se implementato su macchine trojanizzabili, con sicurezza fisica nulla e adoperate promiscuamente per scaricare pornazzi e giochini pirata. Basta guardare il disastro del voto elettronico negli Stati Uniti, che pure usava macchine dedicate (ma non per questo meno trojanizzabili dal fabbricante).

Al tempo stesso, sono ragionevolmente sicuro che esista la possibilità tecnica di creare un sistema di DDD matematicamente inespugnabile, open source e quindi ispezionabile, con autenticazione e integrità garantita anche su hardware e sistemi operativi insicuri. Ma chiunque pensi che un netbook con su Windows Vista possa magicamente trasformarsi nell'urna della democrazia del terzo millennio con una spruzzatina di software è vittima di una faciloneria paragonabile a quella di chi crede che basti una pallina di plastica magica per fare a meno dei detersivi.

Il vero problema della fuga in avanti rappresentata dal sogno della DDD è che queste tecnologie, quand'anche venissero realizzate, avrebbero milioni di talloni d'Achille: gli utenti, che si farebbero fregare in mille modi e appiccicherebbero su un Post-It la password del documento Word nel quale hanno salvato la propria chiave crittografica privata (e la password sarebbe, ovviamente, password o 12345678).

La DDD è fattibile, a mio avviso, solo se oltre al software perfetto si riesce a costruire un elettorato informaticamente sofisticato e culturalmente preparato a concetti come identità digitale, autenticazione e sicurezza. Ma a quel punto, se tutti gli elettori fossero così illuminati, usare la DDD, l'alzata di mano, la scheda elettorale di carta o un dado a venti facce sarebbe probabilmente irrilevante, perché sarebbero dei semidei. E i semidei non hanno bisogno di votare su cosa fare. Sanno già cosa fare e lo fanno.

Mi rendo conto che di questi tempi alcuni potrebbero considerare questo articolo come una mia rarissima e perigliosa scorribanda nella palude della politica, ma a me interessa solo l'aspetto informatico della questione. Ho sentito parole che hanno messo in chiaro che la democrazia diretta digitale è attualmente, per ragioni prevalentemente informatiche, un'utopia per sempliciotti idealisti, e questa mi sembra una lezione importante a prescindere dai singoli balletti maldestri degli aspiranti salvatori megalomani di un qualunque paese. E ho pensato che fossero parole interessanti da condividere, così come metto in guardia contro la faciloneria di affidare tutti i propri dati personali a Facebook. Tutto qui.

Aggiornamenti

Sulla base dei commenti vorrei aggiungere un paio di considerazioni.

Vorrei chiarire che il panel del Festival del Giornalismo ha ispirato questo post. Qualunque estensione dei concetti tecnici espressi dal panel che trovate in questo articolo è opera mia e quindi colpa mia. Non è detto che i membri del panel la condividano.

Per chi cita l'e-banking come esempio d'implementazione di transazione sicura: a parte che ha comunque vulnerabilità che vengono frequentemente sfruttate con successo dal crimine informatico, nell'e-banking ho una possibilità diretta di riscontro di eventuali alterazioni della transazione: ho un estratto conto che posso controllare e la banca può segnalare transazioni anomale. In un sistema di e-voto, è matematicamente possibile avere un riscontro che sia sicuro, eseguibile solo da me e anonimo al tempo stesso (ma questo complica l'implementabilità), ma non posso avere un sistema di rilevamento del voto anomalo. Anzi, se con l'e-banking mi fa piacere se la banca mi chiama e mi dice “scusi, è regolare questo suo pagamento di 10.000 euro alla Bassotti Banda snc?”; mi fa meno piacere se mi chiama l'ufficio elettorale e mi chiede “Scusi, è regolare questo suo voto per il Partito dell'Unicorno Petomane?”.

Per chi interpreta questo articolo come un rifiuto del futuro, vorrei chiarire che non sono contrario al voto digitale. Sono contrario al voto digitale fatto male. Non sto dicendo che il sistema attuale è perfetto; dico solo che pensare alla DDD come la soluzione di tutti i problemi è utopia e c'è il rischio di passare dalla padella alla brace se non si implementa bene.

Sui rischi della democrazia digitale segnalo anche l'ottimo lavoro di Giovanni Ziccardi e Claudio Agosti, sempre al Festival del Giornalismo.

Insomma, come in tanti altri casi mi preoccupano coloro che vendono soluzioni facili ai problemi difficili senza conoscere realmente né i problemi né le soluzioni. Suonano sempre troppo come soluzioni finali in stile Das Byte macht frei.

Appello autentico per Madeleine, attenzione al passaparola impreciso

Questo articolo vi arriva grazie alle gentili donazioni di "enrico.ass****" e "paolocata****". L'articolo è stato aggiornato ampiamente dopo la pubblicazione iniziale.

Stanno circolando vari appelli in favore di "Maddie McCanns" o "Madaleine McCann", una bambina inglese di tre anni scomparsa in Portogallo durante una vacanza con i genitori. Ecco alcuni testi di questi appelli:

Questa e-mail è stata scritta direttamente dalla famiglia di Maddie McCanns (Note: la bimba inglese di 3 anni sparita in Portogallo mentre in vacanza con i suoi genitori). che chiede solo di far girare questo messaggio scritto in inglese, spagnolo portoghese e francese in tutta Europa (o altrove se potete). Alla fine del messaggio troverete le foto di questa bambina.

Un altro appello recita così:

Scomparsa - l'occhio di Madeline è un indizio vitale. Per favore guarda

Inoltrando questa mail a tutta la tua rubrica si stima che in 2 settimane si possano coprire l'80% degli indirizzi mail.

[...]

La famiglia di Madeline ha diffuso questa foto, credendo che sia determinante per riconoscere la bimba. La foto della bambina mostra chiaramente il suo distintivo occhio destro, in cui la pupilla si fonde nell'iride blu-verde.

È questo contrassegno di distinzione che identificherà Madeleine, secondo la famiglia.

La famiglia è estremamente riconoscente a quanti collaboreranno.

La sig.ra McCann ha detto: "lo scopo del manifesto è evidenziare la distinzione nell'occhio del Madeleine.

"Diamo questa informazione, perché sappiamo che i suoi capelli potrebbero potenzialmente essere tagliati o tinti."

L'appello circolante è autentico: riguarda Madeleine McCann (attenzione: non Madeline, Madaleine o McCanns come scritto in alcune varianti del messaggio), che è scomparsa il 3 maggio 2007 a Praia Da Luz, in Portogallo, dall'appartamento di vacanze nel quale si trovava con i fratellini, mentre i genitori erano in un ristorante a poca distanza.

Ne hanno parlato diffusamente i media di tutta Europa: la BBC ne riferisce per esempio qui. La Wikipedia in lingua inglese riassume il caso qui. La bambina è facilmente riconoscibile grazie alla particolarità del suo occhio destro visibile nella fotografia qui sopra.

Evitate però di diffondere le versioni "mutanti" dell'appello e fornite sempre il rimando ai siti di riferimento originali, ossia www.findmadeleine.com oppure www.bringmadeleinehome.com. Questi siti contengono inoltre un volantino in più lingue (italiano compreso) e informazioni aggiornate sul caso della bambina. Occorre inoltre fare attenzione ai siti di sciacallaggio che hanno nomi simili a quelli indicati qui sopra.

Le coordinate telefoniche delle autorità alle quali rivolgersi se avete informazioni pertinenti al caso di Madeleine sono queste: 00351 282 405 400 (numero della polizia portoghese) e 0044-1883-731-336 (numero dell'ente benefico inglese Crimestoppers).