Questo articolo è disponibile anche in versione podcast audio.

Il 19 ottobre scorso Microsoft ha annunciato che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati resi pubblicamente accessibili via Internet a causa di un suo errore di configurazione. I dati includono dettagli delle strutture aziendali, le fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua segnalazione da parte della società di sicurezza informatica SOCRadar il 24 settembre scorso, ma alcuni esperti non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come Grayhat Warfare e come avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati hanno avuto il tempo di procurarsene una copia.

The Microsoft bucket has been publicly indexed for months, it's called olyympusv2 hosted on Azure blob storage - it was publicly readable. It's even in search engines.https://t.co/5iBIb2qvue pic.twitter.com/5zjC0IC4wh

— Kevin Beaumont (@GossiTheDog) October 20, 2022

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google, che hanno malconfigurato vari server contenenti dati sensibili dei propri clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome di dominio nella casella di ricerca, e ha dato alla vicenda il nome BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123 paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente utilizzati dai criminali online per ricatti ed estorsioni o per carpire illecitamente la fiducia dei dipendenti di un’azienda presa di mira manifestando di conoscere informazioni aziendali riservate, ma vengono anche a volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso di ignorare segnalazioni di cloud colabrodo come questa. 

---

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

I found another of the MSFT Bluebleed buckets, with the SQL databases. Contains databases Datastore, WMIDataStore, Olympusv2Backup and Datawarehouse_backup - has been kicking around for some time. pic.twitter.com/s35dN0C7Sg

— Kevin Beaumont (@GossiTheDog) October 26, 2022

Fonte aggiuntiva: Bleeping Computer, Graham Cluley.

Ultimo aggiornamento: 2022/06/02 9:00.

Morto un malware se ne fa un altro, si potrebbe dire: si è appena concluso felicemente il problema di Flubot e già siamo alle prese con un nuovo aggressore informatico, che stavolta colpisce gli utenti di Microsoft Word e Windows tramite documenti Word infettanti.

Lo fa sfruttando una vulnerabilità, presente in tutte le versioni recenti di Office e di Windows, che sorprendentemente riesce ad agire anche se sono state disabilitate le macro, che sono un vettore abituale di attacco, e anche se il documento Word non viene aperto ma soltanto visualizzato da un’anteprima in Esplora file.

Una volta avviato l’attacco, l’aggressore può prendere il controllo sostanzialmente completo del computer della vittima, per esempio installando programmi o guardando, modificando o cancellando dati a suo piacimento. Un bel guaio, insomma.

Microsoft non ha ancora diffuso un aggiornamento di sicurezza che corregga il problema, e la falla viene già sfruttata attivamente dai criminali informatici, ma i principali antivirus riconoscono già i documenti Word infettanti e quindi proteggono abbastanza bene gli utenti.

La vulnerabilità è stata soprannominata Follina dal ricercatore di sicurezza Kevin Beaumont; un nome strano, visto che Follina è una località italiana in provincia di Treviso. Ma non c’è alcun intento di accusare i follinesi di essere artefici di attacchi informatici: Beaumont ha semplicemente visto che uno dei primi esemplari di documento Word infetto si chiamava 05-2022-0438.doc e il significato della prima parte del nome gli pareva ovvio (“maggio 2022”) ma non riusciva a spiegarsi lo 0438. Ha notato che 0438 era il prefisso telefonico di Follina, e così lo ha scelto come nome facilmente ricordabile per questa vulnerabilità, che altrimenti sarebbe identificata formalmente dall’assai meno memorabile sigla tecnica CVE-2022-30190. Gli informatici sono fatti così.

La vulnerabilità viene sfruttata almeno da aprile scorso, quando sono stati segnalati a Microsoft dei documenti Word, costruiti appositamente per utilizzarla, che fingevano di essere richieste di interviste dell’agenzia di notizie russa Sputnik. Ma ci sono anche altri esempi di attacco informatico che usano questa falla, per esempio ad opera di gruppi criminali cinesi e per rubare password. 

Una volta scoperta, insomma, questa vulnerabilità ha cominciato a circolare fra i malviventi informatici, che stanno usando i pretesti emotivi più disparati per incuriosire le vittime e indurle a scaricare e visualizzare il documento Word infettante. Uno dei primi casi di Follina, per esempio, si presentava come una denuncia di un’infedeltà di coppia, corredata da foto compromettenti e da una promessa di vendetta e ricatto: una tentazione morbosamente irresistibile per molti utenti. 

In attesa che Microsoft distribuisca un aggiornamento correttivo, sono state pubblicate delle istruzioni tecniche per disabilitare le funzioni di Windows che rendono possibile la falla. In sostanza si tratta di modificare una chiave del Registro di Windows che riguarda il servizio Microsoft Support Diagnostic Tool (MSDT), come descritto per esempio da Paul Ducklin di Sophos, cosa che però molti utenti non sono in grado di fare. Per cui se usate Windows vi conviene aggiornare il vostro antivirus, fare molta attenzione ai documenti Word inattesi, specialmente se hanno contenuti che possono stuzzicare la curiosità, e aspettare con impazienza l’aggiornamento di Microsoft. 

Per i più coraggiosi, le istruzioni per disabilitare temporaneamente la chiave del Registro sono queste:

1. Eseguire il Prompt dei comandi come Amministratore.
2. Fare una copia di backup della chiave, dando il comando reg export HKEY_CLASSES_ROOT\ms-msdt nome_file (dove nome_file è il nome del file nel quale salvate il backup)
   
3. Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

Fonti aggiuntive: Huntress, Cisa.gov, Graham Cluley, Ars Technica, The Register, BleepingComputer.

Se usate Zoom, la popolarissima app per videoconferenze, aggiornatela subito: le versioni fino alla 5.10.0 compresa hanno una serie di falle di sicurezza importanti, che hanno un effetto sorprendente. Consentono infatti a un aggressore di usare la funzione di chat di Zoom per installare malware sul dispositivo della vittima, senza che la vittima debba fare nulla. In pratica, se l’aggressore è in una chat di Zoom con voi, può prendere il controllo del vostro computer, tablet o telefonino.

Il problema riguarda l’app di Zoom su Android, iOS, Linux, macOS e Windows. Per risolverlo, Zoom va aggiornato alla versione 5.10.1 o successiva.

La falla, composta in realtà da una serie di difetti concatenati (CVE-2022-22784, 785, 786 e 787) è stata scoperta da Ivan Fratric, un ricercatore informatico che fa parte del Project Zero di Google dedicato alla ricerca di vulnerabilità nelle app. La scoperta risale a febbraio, ma è stata resa pubblica solo il 24 maggio scorso.

Fonti: The Register, Ars Technica, The Hacker News.

David Colombo. Credit: Bloomberg.

Ultimo aggiornamento: 2022/02/04 11:30.

Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a tanti possessori di auto elettriche Tesla: ha dichiarato pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo remoto di una ventina di queste automobili, che come tante auto moderne sono costantemente connesse a Internet. 

So, I now have full remote control of over 20 Tesla’s in 10 countries and there seems to be no way to find the owners and report it to them…

— David Colombo (@david_colombo_) January 10, 2022

Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini, suonare il clacson. Colombo ha anche affermato di essere riuscito ad accedere a molti dati personali dei proprietari di questi veicoli e ad attivare la funzione di guida senza chiave, quella che consente di condurre il veicolo anche se il guidatore non ha con sé la speciale chiave o tessera elettronica che sblocca l’auto. 

Ma niente panico: David Colombo si è comportato in maniera responsabile e non ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a Tesla e soprattutto ai gestori di TeslaMate, che è una popolare app di telemetria, realizzata da privati non associati a Tesla. Infatti la falla non era nel software originale di Tesla, ma nell’app non ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei proprietari che si affidavano all’app e in particolare non proteggeva adeguatamente la cosiddetta API Key.

Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a Colombo di prendere il controllo delle auto, il giovane informatico ha pubblicato il metodo di intrusione che aveva utilizzato, spiegando che le auto erano vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha ribadito che la colpa della vulnerabilità era principalmente degli utenti incauti.

Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di password predefinite che molti utenti non cambiavano.  Quando Colombo si è accorto della situazione, ha avviato una scansione di tutta Internet alla ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati Uniti.

A quel punto il suo problema principale è diventato quello di allertare i proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua generica segnalazione iniziale.

Sia Tesla, sia TeslaMate hanno reagito molto rapidamente, correggendo il problema nel giro di poche ore, ma episodi come questo sottolineano la delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono adottati standard elevati di sicurezza e se non si educano gli utenti ad essere altrettanto diligenti nell’uso delle password e di app non ufficiali, incidenti come questo capiteranno ancora. 

Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da remoto, custodite la sua password con la stessa attenzione con la quale custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta anche nuove abitudini di sicurezza.

Fonti: David Colombo (comunicazione personale), TechCrunch, Bloomberg, Business Insider.

Da alcuni giorni, precisamente dal 9 dicembre scorso, c’è un panico informatico diffuso a proposito di Log4Shell, che secondo molti esperti è una delle falle di sicurezza più gravi di sempre e la peggiore del decennio.

Provo a fare il punto della situazione e chiarire cosa possiamo fare noi comuni mortali per evitare problemi.

In estrema sintesi, la falla consiste in questo: in molti siti e giochi online basta scrivere una particolare sequenza di caratteri che inizia con ${jndi: per mandarli in tilt o addirittura prenderne il controllo. Non serve conoscere password o altro.

Per esempio, può essere sufficiente digitare nella chat di Minecraft quella particolare sequenza di lettere e simboli per prendere il controllo dei computer degli altri utenti o di un server Minecraft oppure causare altri danni, come mostra in dettaglio l’informatico John Hammond.

Un altro esempio: nei giorni scorsi se si cambiava il nome del proprio iPhone nelle sue impostazioni e si usava come nome quella sequenza di caratteri, era possibile far scattare questa vulnerabilità nei server di Apple. 

Fra i siti che sono stati colpiti ci sono Steam, iCloud di Apple, Microsoft, Cisco, Amazon, Twitter, Tesla, Cloudflare e tanti altri. Trovate un elenco di questi siti, con i relativi screenshot, qui su Github.

Gli esperti di sicurezza hanno già pubblicato gli aggiornamenti correttivi, e moltissime aziende li hanno installati e hanno pubblicato apposite pagine informative per i loro utenti, ma non tutti i responsabili dei siti e tutti gli utenti li hanno installati, e quindi restano ancora molte persone e organizzazioni esposte e vulnerabili.

In estrema sintesi: 

• se gestite un server esposto a Internet, installate subito gli aggiornamenti della cosiddetta libreria software di logging denominata log4j, se la usate;
• se siete utenti comuni, installate appena possibile tutti gli aggiornamenti di tutte le app che usate su qualunque dispositivo: computer, tablet, smartphone, router, stampanti, eccetera;
• in ogni caso, non fidatevi di inviti o avvisi che vi propongono di scaricare presunti “antivirus” o correzioni da siti mai visti prima: usate soltanto le normali procedure di aggiornamento;
• non fate l’errore di pensare “ma io uso Mac / Linux / Windows e quindi non sono vulnerabile”. Questa falla colpisce un po’ tutti: un elenco molto dettagliato dei software vulnerabili è su Github.  
  

Il Centro nazionale svizzero per la cibersicurezza (Ncsc.admin.ch) ha pubblicato una pagina riassuntiva, disponibile anche in italiano, e un avviso tecnico molto più dettagliato in inglese. Anche Microsoft ha un’apposita pagina informativa e la vulnerabilità è classificata formalmente con la sigla CVE-2021-44228.

Il Govcert svizzero sta contattando le organizzazioni svizzere che risultano ancora vulnerabili. È infatti possibile verificare a distanza se un sito o un server connesso a Internet non è stato aggiornato.

Gli attacchi che sfruttano questa falla e colpiscono chi non si è aggiornato sono già in corso: finora gli aggressori mettono a segno l’attacco installando sui server non aggiornati dei programmi che servono a effettuare altri attacchi (DDOS), tentare estorsioni (ransomware) o sfruttare i computer altrui per generare criptovalute. Secondo quanto scrive Microsoft, molti attacchi provengono da gruppi in Cina, Iran, Corea del Nord e Turchia.

Greynoise pubblica un quadro della situazione qui. Gli attacchi lanciati finora sono almeno 840.000.

Se vi state chiedendo come sia possibile un disastro del genere, per cui basta scrivere qualcosa in una casella di chat per attaccare un sito, la spiegazione è che Log4J è una libreria software, ossia una serie di istruzioni di programmazione, che viene usata da moltissime applicazioni, soprattutto nei computer collegati in rete. Serve a fare il cosiddetto logging, ossia a registrare tutto quello che avviene sui quei computer: per esempio quale utente ha fatto una certa cosa, quando l’ha fatta, da che dispositivo l’ha fatta, eccetera.

È una libreria libera e gratuita, per cui la possono usare tutti liberamente, e infatti la usano moltissime aziende.

Questa libreria ha un difetto: non controlla bene il contenuto dei dati che registra. Se un utente ostile fa in modo che nel log ci sia quella sequenza di caratteri che ho citato prima (per esempio la usa come nome del proprio telefonino oppure come User agent del proprio browser), Log4J riceve la sequenza e la interpreta come istruzioni da eseguire. Un errore classico e clamoroso, spiegato in dettaglio qui da Sophos.

Se volete saperne di più: LunaSec (anche qui), Minecraft.net (anche qui), Howtogeek, Ars Technica (anche qui e qui), Graham Cluley, Gizmodo, Sophos.

Per mandare in crisi un iPhone o un iPad è sufficiente collegarlo a una rete Wi-Fi con un nome particolare. Lo ha segnalato Carl Schou su Twitter pochi giorni fa.

After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3

— Carl Schou (@vm_call) June 18, 2021

Se il nome (SSID) della rete Wi-Fi al quale si collega è %p%s%s%s%s%n, il dispositivo Apple perde completamente la capacità di collegarsi a qualunque rete Wi-Fi, e riavviarlo non risolve il problema. Il difetto è presente in tutte le versioni recenti di iOS/iPadOS, compresa la 14.6.

L’unico modo per riattivare il Wi-Fi sull’iPad o iPhone è andare in Impostazioni - Generali - Ripristina - Ripristina impostazioni rete. Bisognerà poi reimmettere tutti i parametri della propria connessione Wi-Fi.

Perché mai qualcuno dovrebbe usare un nome così bizzarro per una rete Wi-Fi? Per esempio per fare burle pesanti o vandalismi. Un malintenzionato potrebbe dare questo nome alla propria rete Wi-Fi in modo da paralizzare gli iPhone o iPad altrui che tentano di collegarsi a scrocco. Questa falla non colpisce i dispositivi Android o Windows, per cui qualcuno che ce l’ha con Apple potrebbe sfruttarla per danneggiare soltanto i dispositivi di questa marca. 

Sì, gente così esiste. Già circolano gli scherzi, tipo questo, che consiglia crudelmente agli utenti iPhone di usare quel nome per il proprio Wi-Fi per rendere più veloce la connessione:

Tip for iPhone users: if you want faster WiFi, name your SSID %p%s%s%s%s%n

— Edwin 🐰 (@MrAtari_1040ST) June 21, 2021

Apple non ha rilasciato dichiarazioni in proposito e non si sa se il difetto verrà corretto. 

Il motivo per cui questo nome di Wi-Fi ha quest’effetto è che questi caratteri con il simbolo di percentuale vengono usati come istruzioni di formattazione in alcuni linguaggi di programmazione, ed iOS e iPadOS accettano questi caratteri come nome di Wi-Fi senza controllarli, scartarli o convertirli: è una uncontrolled format string, una vulnerabilità classica che non dovrebbe esserci in un sistema operativo moderno.

Il consiglio, ovviamente, è non collegarsi mai ai Wi-Fi di sconosciuti, specialmente se hanno nomi che contengono caratteri bizzarri. E di non credere ciecamente a tutti i “consigli per velocizzare” che si trovano su Internet.

Fonti aggiuntive: Ars Technica, Engadget, BleepingComputer, AppleInsider.

Cybersecurity360.it segnala che ci sono quattro vulnerabilità di sicurezza in Microsoft Office che “se sfruttate con successo, potrebbero consentire a un attaccante di creare documenti Word ed Excel contenenti codici malevoli con cui attaccare i sistemi non aggiornati.“

Le falle (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 e CVE-2021-31939)  sono state scoperte a febbraio e rese note ora, in occasione del rilascio dei rispettivi aggiornamenti correttivi. Le prime tre sono state corrette con gli aggiornamenti di maggio 2021, mentre l’ultima è stata corretta con il Patch Tuesday di giugno.

Si sospetta che queste falle siano presenti da anni in Office, perché sono state trovate nel codice legacy per Excel 95, per cui chi usa versioni vecchie di questa suite può essere a rischio. Installate quindi subito gli aggiornamenti di sicurezza di MS Office e installate la versione più recente della suite.

Il Tampa Bay Times riferisce che uno degli addetti all’impianto stava monitorando i sistemi quando ha visto che il cursore del mouse si stava muovendo da solo e che qualcuno lo stava usando per cambiare la quantità di idrossido di sodio (soda caustica) da 100 parti per milione a 11.100 parti per milione. L’operatore ha subito ripristinato il valore originale. La vicenda viene ora investigata dall’FBI oltre che dalle autorità locali.

A prima vista sembrerebbe un attacco molto sofisticato, opera di terroristi o altri grandi malfattori. Ma leggendo il resoconto ufficiale delle autorità emerge un quadro ben diverso: gli intrusi sono entrati facilmente perché la gestione remota dell’impianto usava un semplice TeamViewer che permetteva di accedere a tutti i computer usando la stessa password di accesso remoto, e i computer erano collegati direttamente a Internet senza alcuna protezione (firewall o simili). Inoltre tutti i computer erano connessi al sistema SCADA di gestione dell’impianto e usavano ancora Windows 7.

Come se non bastasse, l’impianto aveva smesso di usare TeamViewer sei mesi fa, ma l’aveva lasciato installato.

Insomma, un disastro annunciato. Probabilmente si tratta di un ex dipendente oppure di qualcuno che pigramente ha usato i motori di ricerca che trovano gli impianti lasciati aperti online, come Shodan, e fra i tanti honeypot (trappole) ha trovato quel bersaglio assurdamente facile.

Fonti aggiuntive: The Verge, AP.

Un documento PDF pubblico su Senato.it contiene login e password per richiedere un certificato digitale per “corrieri fiduciari”. Le stesse istruzioni sono presenti su molti altri siti istituzionali dell’UE, facilmente reperibili con una ricerca in Google.

Non capisco il senso di mettere una password su una procedura, se poi si pubblica quella password. Dove sto sbagliando?

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Io avrei una domanda per i responsabili di un sito della Regione Veneto, che pubblicano le istruzioni di accesso al server in un documento pubblicamente accessibile da Internet. Con tanto di password. In chiaro. Provo ad avvisare via mail il DPO.

— Paolo Attivissimo (@disinformatico) January 22, 2021

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2021/01/24 16:45. 

Poi la gente si chiede come mai i siti vengono “hackerati” così spesso e immaginano chissà quali acrobazie hanno fatto i criminali per violarli. Magari, in realtà, hanno semplicemente trovato con Google un documento PDF messo online che contiene login e password.

È quello che è successo al Touring Club Italiano qualche giorno fa. Sul suo sito www.bandierearancioni.it c’era un documento (qui), in formato PDF, che conteneva dettagliate istruzioni su come accedere all’area riservata del sito e quali credenziali inserire.

Ho segnalato la cosa pubblicamente al Touring Club Italiano:

Uhm... @TouringClub, pubblicare su Internet un PDF contenente le istruzioni e la password per accedere alle aree riservate di un vostro sito non è molto prudente. Spero che le abbiate cambiate.

Possiamo parlarne?

— Paolo Attivissimo (@disinformatico) January 21, 2021

Ho ricevuto risposta:

@disinformatico grazie per la segnalazione. Il nostro ufficio tecnico sta risolvendo il problema. Un saluto cordiale.

— TouringClubItaliano (@TouringClub) January 22, 2021

Il documento è stato rimosso, per cui ne posso parlare pubblicamente.

Il problema è che quella login e quella password sono pubblicati da vari altri siti, non solo in PDF ma esplicitamente su pagine web pubbliche, e sono facilmente reperibili in Google. Per cui è sostanzialmente inutile che io li mascheri. Posso solo sperare che nel frattempo i responsabili abbiano cambiato login e password (ovviamente non ho potuto verificarlo). I documenti sembrano risalire ad alcuni anni fa, per cui c’è qualche speranza. Ma va considerato che all’epoca quella password era sicuramente valida ed era pubblicata.

In ogni caso, questa vicenda è un buon promemoria del fatto che le password non si mettono mai online in cartelle pubblicamente accessibili contando sul fatto che tanto nessuno ne conosce il link, perché se sono pubblicamente accessibili verranno esplorate dai motori di ricerca e il link verrà pubblicato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Come segnalato da The Register, il sito dedicato alla sicurezza informatica aveva dimenticato di proteggere il proprio file di configurazione, che era quindi pubblicamente accessibile. 

All’interno di questo file, in chiaro, c'erano il nome utente e la password di accesso al database mySQL del sito. La falla è stata scoperta da una persona svizzera che si occupa di informatica ed è nota con il nome Twitter @antiproprietary. 

Il sito, come se non bastasse, usava Ubuntu Linux 14.04, che non riceve più aggiornamenti da aprile del 2019 e ha 11 falle note.

Il sito era stato creato alcuni anni fa nell’ambito di una campagna promozionale ma era evidentemente stato abbandonato senza manutenzione. Anche i siti non aggiornati e dimenticati sono appigli molto preziosi per i criminali informatici e sono una falla classica in molte aziende.

Insomma, la lezione di sicurezza informatica c’è stata, ma non quella prevista.

• WhatsApp standard per Android: fino alla 2.19.134 esclusa
• WhatsApp Business per Android: fino alla 2.19.44 esclusa
• WhatsApp standard per iOS: fino alla 2.19.51 esclusa
• WhatsApp Business per iOS: fino alla 2.19.51 esclusa
• WhatsApp per Windows Phone: fino alla 2.18.348 esclusa
• WhatsApp per Tizen: fino alla 2.18.15 esclusa