Credit: Motherboard.

Motherboard ha pubblicato un’indagine sul fenomeno del ban-as-a-service: l’attività criminale di far bandire (o bannare) qualcuno da un social network usando l’inganno per indurre i gestori del social network a chiudergli l’account.

Nei bassifondi di Internet, infatti, esistono varie organizzazioni criminali che offrono questo servizio dietro pagamento. La tariffa è variabile e dipende dal numero dei follower del bersaglio, ma raramente supera i 60 dollari. E Instagram, uno dei mercati più fiorenti, spesso non protegge a sufficienza i propri utenti da questi attacchi, effettuati per dispetto, ripicca, rivalità, concorrenza, vendetta o estorsione.

Il ban-as-a-service opera in questo modo: il criminale crea un profilo identico a quello del bersaglio, copiandone la foto della bio e la descrizione. Ma crea questo profilo-clone usando un profilo verificato (uno di quelli con il bollino blu), che magari ha rubato a qualcuno.

Fatto questo, il criminale segnala a Instagram l’account della vittima, accusandola di essere un impostore. Instagram, invece di controllare come stanno le cose (per esempio guardando quale dei due account è stato creato prima o ha caricato di colpo tante foto e cambiato quelle preesistenti), banna l’account della vittima.

Non è l’unica tecnica: le altre sono descritte nell’articolo di Motherboard. Ma la cattiveria dei truffatori non si esaurisce qui. Infatti capita spesso che le vittime del ban vengano contattate prontamente da qualcuno che si offre di rimettere tutto a posto, ovviamente dietro compenso. E stavolta le cifre in gioco sono decisamente più alte: dai 3500 dollari in su.

Se la vittima usa il proprio account Instagram per lavoro, trovarselo bannato è un danno economico notevolissimo, per cui capita spesso che le cifre richieste vengano pagate. Guarda caso, chi si offre di ripristinare a pagamento è in combutta con chi ha effettuato il ban.

In casi come questi, non c’è password o autenticazione a due fattori che tenga, perché questo non è un furto di account, e spetta a Instagram investigare per capire come sono andate le cose e chi è il vero impostore. Non sempre lo fa, stando all’indagine di Motherboard. Se vi capita un problema di questo genere, non vi resta che consultare il Centro assistenza di Instagram, che ha una pagina apposita per il ripristino degli account disabilitati.

 

 

Ultimo aggiornamento: 2021/05/17 08:40.

Un altro giorno, un’altra collezione di scansioni di documenti d’identità lasciata online, accessibile a chiunque sappia usare Google. Non occorre conoscere password o altro: basta un banalissimo googledork. Il tweet qui accanto contiene tutto quello che serve sapere per trovare questi documenti.

Come è possibile? Molti documenti della pubblica amministrazione italiana hanno in allegato una scansione della carta d’identità: ho trovato registrazioni di liquidazioni di prestazioni, lettere commerciali di affidamento lavori, persino una raccomandata spedita via PEC (ironicamente), tutte con la loro brava scansione a colori, nitidissima, di un documento d’identità, usata come “firma digitale”.

Nomi, cognomi, indirizzi, fotografie, estremi dei documenti, dettagli dei pagamenti effettuati o richiesti, codici IBAN, tutti lasciati online.

Chi è l’irresponsabile che ha messo tutti questi documenti in bella mostra su Internet? Il Ministero delle Infrastrutture e dei Trasporti.

A quanto pare chi ha progettato il sito non ha considerato che esiste Google, e che quindi se un file è accessibile senza dover fare login e digitare una password Google lo troverà e lo indicizzerà, permettendo a chiunque di trovarlo. In questo caso i file sono accessibili perché hanno un URL pubblico del tipo

http://trasparenza.mit.gov.it/moduli/downloadFile.php?file[stringa]/[nome file PDF]

Disastri di privacy come questo sono frequentissimi e sono ovviamente una miniera d’oro per qualunque malintenzionato che voglia procurarsi una scansione di un documento identificativo di qualcuno per impersonarlo, specialmente ora che la scansione viene considerata equivalente a una firma.

La prossima volta che qualcuno propone di depositare online una copia dei documenti d’identità, magari affidandola ai social network, allo scopo di obbligare tutti a identificarsi sui social e quindi proteggersi dai bulli, dai molestatori e dagli odiatori, ricordate questo caso. 

Questa è la pubblica amministrazione di uno stato, che ha degli obblighi di legge, e li ha verso i propri cittadini. Figuratevi come può tutelare i vostri documenti personali un’azienda che ha la sede principale all’estero, risponde soltanto alle leggi del suo paese (forse), al posto dei cittadini ha degli utenti e ha come esplicito scopo commerciale la vendita dei dati dei propri utenti.

---

Aggiornamento (2021/05/14 00:10). Se qualcuno avesse in mente di obiettare “ma tanto non se ne fanno nulla di queste scansioni di documenti d’identità, a chi vuoi che interessino”, questo è l’annuncio pubblicato oggi su un noto forum di compravendita di dati trafugati: vengono offerti dieci euro per ogni carta d’identità.

---

Aggiornamento (2021/05/17 08:40). Di questo caso e di altri analoghi si sono occupati Matteo Flora e Guido Scorza in una puntata di Garantismi.

Sono arrivate tante segnalazioni a proposito delle mail, ricevute da clienti EasyJet, nelle quali la compagnia aerea annuncia di aver subìto un “incidente di sicurezza informatica” che ha coinvolto circa nove milioni di clienti, di cui 480.000 in Svizzera.

La mail proviene effettivamente da Easyjet e include un link personalizzato che porta a una pagina del sito della compagnia aerea che contiene le stesse informazioni.

Il testo è piuttosto rassicurante e solitamente dice che “I dati del tuo passaporto e carta di credito non sono stati coinvoli [sic], ma sono state consultate informazioni del luogo di partenza, la destinazione di viaggio, la data di partenza, il numero di riferimento della prenotazione, la data di prenotazione e il valore della prenotazione.”

Ma il testo non è uguale per tutti: se l’avete ricevuto, leggetelo attentamente, perché l’esperto di sicurezza informatica Graham Cluley segnala che alcuni clienti hanno ricevuto una variante della mail che dice chiaramente che sono stati trafugati anche “dettagli di carte di credito (compresa la scadenza e il CVV)”. Se è questa la vostra versione, vi conviene far bloccare subito la carta di credito che avete usato e che è indicata nella mail.

Un altro aspetto interessante è che la fuga di dati è stata annunciata il 19 maggio, ma non viene precisato il momento in cui è avvenuto effettivamente l’attacco, che a quanto pare risale a un paio di mesi prima: chi ha ricevuto la mail con l’allerta riguardante la carta di credito l’ha infatti vista comparire nella propria casella di posta a fine marzo.

Ma come è possibile che EasyJet si sia fatta rubare i CVV? Questi dati normalmente non vengono conservati dai negozi online, e quindi è molto strano che la compagnia parli di trafugamento di questi codici di autorizzazione. L’ipotesi più probabile è che il sito di Easyjet sia stato attaccato e alterato in modo da installarvi un software (per esempio Magecart) che intercettava i dati di pagamento durante le prenotazioni. Non sarebbe la prima volta: la stessa cosa è successa a British Airways a ottobre 2018.

Comunque stiano le cose, resta valido il consiglio della compagnia aerea di fare molta attenzione a possibili tentativi di furto di password o dati personali da parte di truffatori che si spacciano per EasyJet via mail o per telefono. Conoscendo la spavalderia dei criminali, è probabile che tentino addirittura di presentarsi come addetti ai rimborsi e vi chiedano i dati della carta di credito per un presunto risarcimento. Non cascateci.

Se vi arriva via SMS un codice di sei cifre e qualcuno ve lo chiede, non dateglielo: vi potrebbe rubare l’account WhatsApp.

La tecnica è questa: il ladro di account vi manda un SMS nel quale finge di essere un comune utente pasticcione che ha inviato un proprio codice a voi per errore e vi chiede cortesemente di rimandarglielo.

Non fatelo. Quel codice è infatti il codice di verifica di WhatsApp. Il ladro sta tentando di rubarvi l’account WhatsApp e ha immesso nell’app il vostro numero di telefono, e quindi WhatsApp ha inviato al vostro telefono l’apposito codice di verifica. Se comunicate questo codice al ladro, gli date tutto quello che gli serve per prendere il controllo del vostro account.

Va detto che il codice di verifica arriva in un messaggio che dice molto chiaramente di non dare il codice a nessuno, ma c’è sempre qualche vittima che non ci fa caso e quindi risponde alla richiesta del ladro.

WhatsApp ha una pagina apposita di istruzioni, che avverte che “WhatsApp non dispone di informazioni sufficienti per identificare la persona che tenta di verificare il tuo account WhatsApp” ma consola notando che “i contenuti condivisi su WhatsApp sono crittografati end-to-end e i messaggi vengono archiviati sul tuo dispositivo, pertanto chi accede al tuo account da un altro dispositivo non può leggere le tue conversazioni precedenti”.

Se il furto va a segno, WhatsApp offre alcune informazioni nell’articolo Furto dell’account e consiglia di abilitare la verifica in due passaggi.

Per evitare ulteriori confusioni, l’articolo è stato riscritto alla luce delle nuove dichiarazioni della ministra e del Ministero per l’Innovazione italiani. La versione originale è in fondo. Ultimo aggiornamento: 2020/01/11 14:10.

Nei primi minuti della puntata di Eta Beta di Radio Rai di stamattina (riascoltabile qui), la ministra italiana per l’Innovazione Paola Pisano ha fatto una dichiarazione che ha creato un certo sconcerto in Rete, ripreso per esempio da Repubblica. La dichiarazione testuale è questa (quella di ANSA è sbagliata):

Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato, perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino. E lei lo sa quante truffe ci sono sull’identità su Internet.

La ministra ha successivamente chiarito che si riferiva a SPID, il sistema pubblico di identità digitale, non a “user e password”. Però ha parlato di “user e password”, non di SPID. Che sono due cose drasticamente differenti: è come dire “volevo parlare di burro, ma mi è uscito di bocca ‘locomotiva’”.

Da qui è nata la polemica, successivamente chiarita in parte da una rettifica della ministra e del Ministero.

• La ministra Pisano ha infatti postato questo tweet di precisazione: “Vediamo di sgombrare il campo da ogni equivoco: l'identità digitale sarà rilasciata dallo Stato e servirà a identificare il cittadino in modo univoco verso lo Stato stesso. In futuro, per aziende e cittadini che lo vorranno, POTREBBE essere ulteriore sistema di autenticazione”.
• Il Ministero per l’Innovazione ha poi pubblicato un tweet di ulteriore chiarimento: “Nessuna nuova proposta, né nuova password di Stato. @PaolaPisano_Min a @EtaBetaRadio1 si riferiva a #SPID già usata da 5 mln di italiani. L'intenzione da discutere con tutti gli interlocutori istituzionali competenti è solo quella di affidarne la gestione direttamente allo Stato”.

Quindi no, la ministra non voleva dire che dovremmo avere una sola password, e pure di Stato, ma si è espressa in modo talmente confuso da aver dato quest’impressione.

La dichiarazione della ministra, nonostante le successive correzioni, è comunque molto problematica: usare l’identità digitale fornita dallo Stato (SPID) anche per gli acquisti e i servizi nel settore privato significa collegare le attività private (che in una democrazia non devono interessare a uno Stato) a quelle che riguardano lo Stato (tasse, certificati, atti pubblici), e questa è sempre una pessima idea. Vostra figlia ha il diritto di acquistare un sextoy o leggere Mein Kampf o una guida all’Islam o un sito sull’aborto o la contraccezione senza che lo Stato ci possa mettere il becco o schedarla per le sue abitudini.

Per chi obietta che con SPID lo Stato non sa cosa ha comprato o letto vostra figlia perché non vede cosa fa nel sito nel quale si è loggata usando SPID, va detto che a volte basta che lo Stato (o l’Identity Provider privato che offre il servizio SPID per conto dello Stato) sappia il nome del sito per capire cosa ha comprato, letto o guardato la visitatrice.

È il solito problema dei metadati. Se vostra figlia si logga su Sextoys-per-ragazze punto com, Meinkampf-aveva-ragione punto com, Gravidanza-inattesa punto com, Rovesciare-il-governo punto it o Islam-per-tutti punto info, non ci vuole un grande studio per dedurre i suoi interessi, orientamenti e problemi.

E per “lo Stato” non intendo solo lo Stato attuale, ma tutti gli Stati possibili futuri: ammesso che vi fidiate dello Stato che esiste ora, non potete sapere se salirà al potere un governo che prenderà di mira qualche condizione o pratica che prima era legittima (consumo di droghe, aborto, vasectomia, omosessualità, orientamento religioso o politico, tanto per fare qualche esempio). Anche dichiararsi ebrei nel censimento meccanizzato dall’IBM non sembrava un problema in Germania o in Francia, fino a che è salito al potere il nazismo e ha usato quei dati per uno sterminio di massa.

Per quelli che pensano “ma da noi queste cose non potrebbero mai succedere”, vorrei ricordare che nel 1938 l’Italia introdusse le leggi razziali. E c’è ancora oggi gente che rimpiange quelle leggi e le vorrebbe ripresentare.


C’è però un’altra parte della dichiarazione della ministra Pisano che è ancora più problematica: sostenere che “Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato“ significa accentrare nello Stato l’erogazione della sicurezza informatica.

È l’equivalente digitale di dare allo Stato il monopolio sulle serrature delle porte di casa. Cosa succede se salta fuori che il modello di serratura imposto dallo Stato è arcaico e scassinabile? Diventano scassinabili tutte le serrature di tutte le case.

C’è poi il problema dell’accentramento delle credenziali: se un malintenzionato riesce a fare phishing del mio SPID, si sostituisce a me in tutto e per tutto non solo nei miei rapporti con lo Stato, ma anche in tutti gli altri miei rapporti online, perché ho messo tutte le mie uova nello stesso paniere. È l’equivalente di avere una chiave universale per tutte le serrature di casa e farsela rubare.

Aggiungo un altro problema: se si usa lo SPID per accedere ad altri siti non statali (per esempio per fare acquisti o per comunicare tramite i social network), cosa succede se i server SPID vanno in crash o sovraccarico? Non solo non ci si può collegare ai servizi digitali dello Stato, ma non ci si può più collegare neanche ai social network, alla mail, ad Amazon, alla banca, eccetera eccetera. È come avere quell’unica chiave universale e scoprire che si è rotta. 

La ministra, di fronte alle obiezioni che le sono subito arrivate, ha corretto quel “dovrebbe” in “potrebbe”.

Infine, giustificarsi dicendo “perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino” è una sciocchezza, perché per comprare un maglione o un biglietto al cinema non c’è bisogno di sapere chi lo compra: è sufficiente sapere che chiunque lo compri abbia soldi per pagarlo. Anzi, se voglio comperare un test di gravidanza, dire il mio nome e cognome potrebbe essere l’ultima cosa che sento il bisogno di fare.


Prevengo le inevitabili considerazioni del tipo “beh, però se tutti fossero identificati online dallo Stato, non ci sarebbero le minacce e gli insulti nei social network”. È un mito fasullo, già sviscerato tempo addietro qui. Non funziona così.

La versione originale di questo articolo (2020/01/04)

Per correttezza e traccia cronologica, riporto qui sotto la versione originale del mio articolo, scritta quando la ministra non aveva ancora chiarito che con “user e password” intendeva in realtà SPID. Le considerazioni che seguono valgono per la dichiarazione iniziale della ministra (“un’unica e sola user e password”) e non si applicano necessariamente a SPID.

Nei primi minuti della puntata di Eta Beta di Radio Rai di stamattina (riascoltabile qui), la ministra italiana per l’Innovazione Paola Pisano ha fatto una dichiarazione che ha creato un certo sconcerto in Rete:

Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato, perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino. E lei lo sa quante truffe ci sono sull’identità su Internet.

La dichiarazione della ministra è molto problematica: pensare che si debba usare un’unica coppia username/password dappertutto (non solo verso lo Stato, ma anche verso i privati) significa andare contro uno dei principi di base della sicurezza informatica, ossia mai usare la stessa password e lo stesso username dappertutto. La ragione è semplice: se uso la stessa password ovunque, per esempio, e avviene un furto di password presso uno qualsiasi dei siti che ho usato, il ladro ha accesso a tutti i miei servizi.

Non solo: se gli utenti usano nei siti generici le stesse credenziali che hanno per i rapporti con lo Stato o con la sanità, questo vuol dire che il livello di protezione di quelle credenziali statali diventa quello del più scalcinato dei siti generici che le usano. Per saccheggiare gli account di Stato non c’è bisogno di attaccare i server della pubblica amministrazione: basta attaccare quelli del negozietto online gestito dal cugino del proprietario che è bravo con i videogame e quindi sa tutto di informatica.

Ma c’è anche un problema molto serio di privacy: usare l’identità digitale fornita dallo Stato anche per gli acquisti e i servizi nel settore privato significa collegare le attività private (che non devono interessare a uno Stato) a quelle che riguardano lo Stato (tasse, certificati, atti pubblici), e questa è sempre una pessima idea. Vostra figlia ha il diritto di acquistare un sextoy o Mein Kampf o una guida all’Islam senza che lo Stato ci possa mettere il becco o schedarla per le sue abitudini.

E per “lo Stato” non intendo solo lo Stato attuale, ma tutti gli Stati possibili futuri: ammesso che vi fidiate dello Stato che esiste ora, non potete sapere se salirà al potere una dittatura o semplicemente un governo che prenderà di mira qualche comportamento o condizione che prima era legittima (consumo di droghe, aborto, vasectomia, omosessualità, orientamento religioso o politico, tanto per fare qualche esempio). Anche dichiararsi ebrei nel censimento meccanizzato dall’IBM non sembrava un problema in Germania, fino a che è salito al potere il nazismo e ha usato quei dati per uno sterminio di massa.

La terza parte della dichiarazione è però ancora più problematica: sostenere che “Ogni volta che noi abbiamo una user e una password, questa user e password dovrebbe essere data dallo Stato“ significa accentrare nello Stato l’erogazione della sicurezza informatica. È l’equivalente digitale di dare allo Stato il monopolio sulle serrature delle porte di casa. Cosa succede se salta fuori che il modello di serratura imposto dallo Stato è arcaico e scassinabile? Diventano scassinabili tutte le serrature di tutte le case.

Infine, giustificarsi dicendo “perché è lo Stato l’unico soggetto che ha davvero certezza che quello è quel cittadino” è una sciocchezza, perché per comprare un maglione o un biglietto al cinema non c’è bisogno di sapere chi lo compra: è sufficiente sapere che chiunque lo compri abbia soldi per pagarlo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2019/01/11 13:10. Alcuni nomi, luoghi e dati di questa storia sono stati alterati per riservatezza.

Che pericolo ci sarà mai a postare un normale selfie su Instagram? Se sei una giovane ragazza, il pericolo c’è eccome, e Instagram non fa praticamente nulla per proteggerti.

Marta (non è il suo vero nome) è una ragazza svizzera minorenne che, come tante persone della sua età, pubblica dei selfie su Instagram: foto normali, nulla di sconveniente. Ha un account pubblico.

Mi ha chiamato chiedendo aiuto perché qualcuno aveva preso uno dei suoi selfie, aveva creato un account Instagram basato sul suo nome e cognome, e aveva messo nel profilo il suo numero di telefonino con le parole “Scopo gratis”, “Sono una zoccola” e altre volgarità.

La ragazza aveva cominciato a ricevere numerose telefonate e molti messaggi su WhatsApp riguardanti quel profilo falso e la sua apparente offerta, e ovviamente si era agitata e spaventata. L’imbecille creatore del profilo forse pensava di fare uno scherzo divertente, una grande spiritosata, ma questa è molestia online; è cyberbullismo.

Le segnalazioni di Marta a Instagram, tramite l’apposita funzione Segnala dell’app di Instagram, non sono servite a nulla. Ho segnalato anch’io l’account fasullo, ottenendo solo questa risposta:

“Grazie per aver trovato il tempo di segnalare l’account di [omissis]. Sebbene analizzando l’account che hai segnalato per furto di identità abbiamo riscontrato che non viola le Linee guida della community, le segnalazioni come la tua rappresentano un aspetto importante che contribuisce a rendere Instagram una piattaforma sicura e accogliente per tutti”

Complimenti, Instagram. Vi segnalano un account nel quale sembra che una minorenne pubblichi il proprio numero di telefono e si offra per fare sesso, e per voi “non viola le regole della community”. E intanto il molestatore continua a tormentare la propria vittima, che non sa più a chi rivolgersi. Sospendere l’account segnalato in attesa di accertamenti no, vero?

Per chi si trovasse nella stessa situazione:

• mandate un solo messaggio all’account fasullo (se non vi ha bloccato), dicendogli che quello che sta facendo è molestia e cyberbullismo e quindi è denunciabile, e intimandogli di cancellare subito l’account, ma non dite altro e non dialogate;
• chiedete agli amici di segnalare l’account fasullo: è possibile che tante segnalazioni possano attirare l’attenzione dell’assistenza di Instagram;
• non limitatevi a cliccare su Segnala nell’app, ma consultate (preferibilmente usando un computer, non il telefonino) la sezione Account che fingono l’identità di altre persone o entità di Instagram: troverete un questionario da compilare, al quale allegare “una foto chiara che ti ritrae con il documento di identità accettato in mano”;
• i documenti accettati sono per esempio: certificato di nascita, patente di guida, certificato di matrimonio, documento di identità ufficiale diverso dalla patente di guida (per esempio una carta d’identità nazionale), passaporto;
• deve essere la persona impersonata a inviare la segnalazione, dal proprio account (se non ha un account, può seguire la stessa procedura);

• In alcuni casi la polizia può intervenire autorevolmente: Instagram spiega qui che “in caso di pericolo imminente per un bambino o rischio di morte o serio danno fisico a una persona, un rappresentante delle forze dell'ordine può inviare una richiesta usando il sistema di richieste online per le forze dell'ordine su facebook.com/records”. In Svizzera, per esempio, c’è il Gruppo Visione Giovani della Polizia Cantonale.

In questo caso, oltre a consigliare a Marta di parlare della situazione con i propri genitori (cosa difficile, lo so) e guidarla nel raggiungere il modulo di segnalazione, ho provato inoltre a scrivere un tweet pubblico ad Adam Mosseri, Head di Instagram, riassumendo la situazione:

@mosseri Swiss journalist here. Young girl is being harassed on Instagram by someone impersonating her, posting her photos, name and phone number and offering free sex. She's being phoned by harassers. Reported multiple times. Ignored. Is this how you help your users?

Non so se è stato merito del tweet, della segnalazione dettagliata con documento d’identità fatta da Marta o di un ripensamento da parte del molestatore, ma alla fine l’account fasullo è scomparso.


Tutto è bene quel che finisce bene, ma purtroppo questa storia ripropone un problema spesso trascurato: più cose personali pubblichi, più è facile che qualcuno ne abusi. E i social network non offrono strumenti di difesa efficaci e rapidi.

È triste doverlo fare, ma mi tocca dare un consiglio: tenete privati i vostri account Instagram se ci mettete cose personali, anche se vi sembrano innocue. Una ragazza avrebbe il diritto di farsi vedere in pubblico senza essere molestata, ma a causa degli imbecilli allupati deve prendere delle precauzioni.

A proposito di imbecilli: il primo di tutti sei tu, quello che ha creato l’account falso. Ma anche gli altri che hanno telefonato a una quattordicenne cercando sesso non sono migliori. Tormentare una ragazzina vi fa sentire grandi? Sì, grandi c*glioni. Fate pena.

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.


Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Pubblicazione iniziale: 2017/12/15. Ultimo aggiornamento: 2017/12/20 8:40. 

Quando raccomando di non inviare via Internet scansioni dei propri documenti d’identità, spesso mi capita di essere accusato di eccessiva paranoia. Ma dai, mi dicono, cosa vuoi che succeda? I siti che chiedono questi documenti li custodiscono bene, no?

No.

Qualche giorno fa mi è arrivata una segnalazione: un sito italiano, Noisigroup.com, che si autodefinisce “il più grande gruppo di incontro Etico e Solidale”, custodiva (si fa per dire) le carte d’identità e altri documenti personali dei propri utenti in chiaro e lo faceva in una cartella pubblicamente accessibile via Internet.

La cartella era https://noisigroup.com/uploadtmp. Ho salvato una copia della cartella (non dei documenti) su Archive.is.

Chiunque, insomma, poteva trovare quei documenti (per esempio con Google) e scaricarli per poi usarli per autenticarsi altrove e commettere truffe e altri reati dando la colpa al titolare dei documenti.

Piuttosto ironicamente, la “Informativa sulla privacy e trattamento dei dati personali” del sito dichiara che “I sistemi sono dotati delle opportune e necessarie misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.” Come no.

Come se questo non bastasse, ho tentato invano di avvisare i responsabili del sito. Ho inviato mail all’indirizzo indicato nella suddetta informativa, che sono tornate respinte (450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table, seguito stamattina da un bel 450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table).

Ho provato a immettere una segnalazione nel modulo Contatti del sito. Ho dato il mio nome e cognome, mi sono qualificato come giornalista informatico e anche dato un numero di telefono.


Nessuna risposta. I documenti sono rimasti online, alla mercé di chiunque. Documenti come questo, che qui mostro in versione anonimizzata.


Alla fine ho provato a segnalare la situazione alla Polizia Postale italiana, scoprendo però che il modulo online (accessibile soltanto dopo essersi registrati con nome e password) non prevede un’opzione per i documenti trovati online. Comunque i numeri di telefono e gli indirizzi di mail della Polizia Postale sono qui su Facebook.

Grazie anche alle dritte arrivatemi nel frattempo dai lettori, ho segnalato la questione al Garante per la Protezione dei Dati Personali, gratuitamente e con una semplice mail. Il Garante ha avviato un provvedimento di blocco e i documenti ora non sono più online nel sito, ma restano a spasso su Internet, nelle mani di chiunque voglia abusarne.

Purtroppo so, da quello che mi scrivete, che molti siti hanno la stessa irresponsabile sciatteria nel custodire i nostri dati. Conviene quindi imparare a darli il meno possibile oppure prendere alcune precauzioni, come quella segnalata nei commenti dopo la pubblicazione iniziale di questo articolo, ossia includere nella scansione, in maniera difficilmente rimovibile, una dicitura che specifichi lo scopo della scansione e il suo unico destinatario legittimo, in modo da evitarne il riuso da parte di terzi.

2017/12/20

Stamattina ho visto che il sito Noisigroup.com è completamente inaccessibile. La cache di Google, che risale al 17 dicembre, mostra la dicitura “Sito off-line per manutenzione - Il sito tornerà ad essere operativo a brevissimo!”. Lo stesso vale per una copia salvata su Archive.is il 18 dicembre.

Credit: BBC.

La BBC segnala un’ondata di messaggi truffaldini circolanti su WhatsApp: si tratta di inviti a cliccare su un link per ricevere quelli che dovrebbero essere buoni sconto di supermercati molto noti se si partecipa a un semplice sondaggio e si manda il messaggio a venti dei propri amici. Lo scopo di questa truffa è raccogliere dati personali, come nomi, indirizzi e coordinate di carte di credito.

Fra i nomi colpiti, secondo il sito ActionFraud della polizia britannica, ci sono Marks and Spencer, Tesco, Asda, Nike, Lidl, Aldi e anche Singapore Airlines. È probabile che la stessa truffa circoli anche in versioni nazionali in altri paesi europei.

I messaggi sono molto credibili perché i link che presentano sono quasi identici a quelli dei veri siti dei supermercati presi di mira: è facile non accorgersi che sotto o sopra una delle lettere che compongono il nome del sito c’è un puntino, o che la lettera è barrata in alto.

La tecnica è nota come internationalized domain name homograph attack: in sintesi, i truffatori creano un sito il cui nome usa lettere di alfabeti diversi da quello latino. Per esempio, al posto di Aldi.com (il sito autentico) creano il sito Alḍi.com oppure Alđi.com e vi mettono delle pagine che somigliano a quelle del vero supermercato. Le vittime immettono i propri dati personali in queste pagine, credendo di poter ricevere un premio, e invece vengono imbrogliate.

I servizi antifrode di Internet hanno già messo un blocco su molti di questi siti ingannevoli, ma è meglio restare vigili e guardare sempre con molta attenzione il nome del sito linkato in qualunque messaggio, diffidando come sempre delle offerte troppo belle per essere vere.

Soprattutto è importante non ubbidire mai agli inviti a inoltrare un messaggio pubblicitario ad altri utenti: se lo fate, rendete più credibile la truffa, perché i vostri amici la ricevono da una fonte di cui si fidano, cioè voi.

Capita spesso di vedere gli amici che festeggiano pubblicamente la partenza per un viaggio o la partecipazione a un concerto mettendo sui social network le foto dei propri biglietti. Basta cercare su Instagram parole chiave come “boarding pass” o “concert ticket” per vederne decine di migliaia di esempi come quello qui accanto.

Ma un esperto di sicurezza della Repubblica Ceca, Michael Špaček, mette in guardia: i codici a barre presenti su questi documenti sono facilmente estraibili dalle foto e portano a informazioni sensibili.

Tanto per cominciare, annunciare che siete in partenza per un viaggio verso luoghi lontani indica che non sarete a casa per un bel po’. Ma i codici a barre delle carte d’imbarco, in particolare i codici Aztec, possono contenere il numero dell’account frequent flyer, le tappe future del viaggio e altri dati che hanno permesso al ricercatore di scoprire la data di nascita del titolare, il suo numero di passaporto, di modificare i dati annullando i voli successivi e modificando i dati di cittadinanza e di scadenza del passaporto. Anche il cosiddetto PNR (passenger name record) è una sorta di password temporanea, eppure viene stampato su ogni bagaglio. Fra l’altro, esistono siti appositi, più o meno affidabili, che facilitano l’estrazione e l’analisi di questi dati.

Il rimedio è semplice: non pubblicate immagini di questo genere fino alla fine del viaggio, o perlomeno copriteli.

Fonte: Naked Security.

Ho ricevuto da un lettore, che chiamerò Carlo (non è il suo vero nome), la segnalazione di un tentativo di raggiro online piuttosto insolito: una finta offerta di lavoro internazionale.

Carlo è un ingegnere. Di recente ha cercato su LinkedIn delle opportunità di lavoro corrispondenti alla sua qualifica di “BIM project coordinator” e ha trovato un annuncio che parlava della ricerca di una persona con questa qualifica per una nuova filiale in Canada. L’annuncio su LinkedIn conteneva un link che portava a Shine, un sito asiatico di annunci di lavoro, dove gli è stato chiesto di immettere i propri dati essenziali e di allegare un curriculum.

Qualche giorno dopo Carlo ha ricevuto una mail con un allegato in formato Word: un questionario la cui prima pagina è mostrata qui accanto. Il testo della mail è il seguente (ho rimosso solo i dati personali di Carlo):

From: "Macquarie Group Limited"
Date: ******
Subject: MACQUARIE GROUP LIMITED PRELIMINARY INTERVIEW QUESTIONS
To: ******
Cc:

Macquarie Group Limited
2400-550 Burrard St,
Vancouver, BC V6C 2B5
Canada

DEAR APPLICANT WE ARE GLAD TO INFORM YOU THAT YOUR RESUME POSTED ON INDIA JOB SITE SHINE HAS BEEN FOUND INTEREST

Macquarie Group is a global provider of construction, health care and financial services with offices in so many countries.
Our breadth of expertise covers construction, building bridges, transportation, health care, advisory and capital markets, trading and hedging funds management, asset finance, financing, research and retail financial services. The diversity of our operations, combined with a strong capital position and robust risk management framework, has contributed to our 46-year record of unbroken profitability. We have offices in 12 countries and 16 locations across the region.
Our EMEA operations represent a diversified business with leading expertise in infrastructure, transport, resources, commodities and energy with niche expertise in adjacent business areas.
The following vacancies are available for immediate appointment : Executive Assistant, Account Executive, Personnel Assistance and Secretary, supervisors,  Accountants, Medical and Health Workers, Project Manager, Business Development Manager ,  Project managers, Apprentice, Assistant Project Manager, Building Inspector , Carpenter , Civil Engineer, Concrete Laborers ,  Construction Assistant, Sales manager, marketing executive, Stock managers, , Construction Coordinator  , Construction Engineer, Construction Foreman , Construction Manager , Construction Superintendent, Construction Supervisor, Construction Worker, Contract Administrator , Contract Manager, Crane Operator , Dry Wall Finisher, Estimator ,  Electrician , Equipment Operator ,  Field Engineer, Framing Carpenter, General Laborer, Inspector, Iron Worker, Joiner, Laborer, Master Electrician,  Painter, Pipe Fitter , Planner , Plumber , Purchasing Coordinator , Project Assistant,  Project Manager , Roofer , Safety Director , Safety Manager ,Scheduler, Signal Worker,  Site Manager , Superintendent ,  Surveyor , Welder Mechanical,  Chemical, Electrical,  Human resource managers,  Project Engineer,  maintenance manager  , Ware House Manager.
After carefully reviewing your Resume/ CV we would like to consider you for a position that will best suit your qualification and experience, for an immediate appointment, which will be conditioned on your performance, for the continued growth of our company. We are currently recruiting candidates to join our Commodities and Financial Markets division. This is a varied role which involves supporting a team of 550 at various levels.

IMPORTANT:
You are however expected to find the attached file in this email and give your brief, concise and intelligent answers to our preliminary interview questions; this is an important criterion in our overall final selection. All answers are to be typewritten and re-attached and forwarded  back to us. Please adhere strictly to instructions
 Employment Status: Full time with the following essentials.
A) A private accommodation with a furnished sitting room and bedroom.
B) A Fixed land phone and an Internet ready computer.
C) Free Lunch Feeding
D) Free medical care
E) A day off every week and all fully paid six weeks’ vacation in a year.
WORKING HOURS:
You will be working from 8am to 5pm Mondays to Fridays. And weekends overtime (optional) from 9am to 3pm
SALARY RANGE: 8,500 CAD-10,650 CAD monthly, (DEPENDING ON THE DEPARTMENT YOU ARE WORKING) after tax
ALLOWANCE: 1,500 CAD- 2,500 CAD monthly, (DEPENDING ON THE DEPARTMENT YOU ARE WORKING) after tax

NOTE:

1). You will undertake a 2 week training course to help orientate you on the moralities and modalities of service at our facility. This is to enable us bring you up to speed with your work schedule and company bureaucracy.
2). The board and management of Macquarie Group Limited has set up  a strategic visa acquisition process that guarantees all our foreign applicant's Visa/ Work permit approval for all expatriates 100% success.
3). All our selected foreign applicants will be prioritized and given a diplomatic preference for the speedy issuance of their Visa/ Work permit. This is so because the management board has provided all the necessary documents to authenticate the verification of your Visa/ Work permit application Status.
If all conditions as stated here above is satisfactory to the intending employee, please kindly respond to us with an email with the following documents
1)    Indicate the post applied for or interested in
2)    Soft copy of your international passport and your credentials copies.
3)    Soft copy of recent passport photograph
4)  Your attached answers to the preliminary interview questions
So that we can proceed further and make the contract agreement letter through our immigration lawyer, if you make it to our final selection. Hence, you will be officially contacted directly by the head of our HR department acknowledging your acceptance of our offer.
Regards
Mr Besam Chars
Phone: No +16479465591

La prima anomalia che salta all’occhio, e che ha insospettito subito Carlo, è l’indirizzo del mittente: perché mai un'azienda canadese dovrebbe usare Yandex per la propria mail di lavoro? Normalmente le aziende usano indirizzi di posta che includono il loro dominio aziendale. La Macquarie, per esempio, dovrebbe usare *@macquarie.com.

La seconda anomalia è che l’azienda Macquarie Group Limited esiste davvero, ma cercando in Google "Macquarie Group Limited" scam fra i risultati emerge una pagina web dell’azienda che mette in guardia contro prese di contatto via mail provenienti da persone che si spacciano per rappresentanti dell’azienda e chiedono password e altri dati personali, ma non parla di offerte di lavoro.

Ci sono anche altre anomalie, come errori d’inglese molto bizzarri (in Ware House Manager, ware house è un errore stranissimo per un inglese, e la punteggiatura con lo spazio prima della virgola è decisamente dilettantesca). Inoltre il numero di telefono +16479465591 non risulta nelle Yellow Pages canadesi.

Si tratta insomma chiaramente di un raggiro, ma a che scopo? Il problema di molte di queste truffe online è che le vittime hanno un forte incentivo emotivo a sperare che siano offerte genuine e non riescono a vedere quale intento truffaldino possano avere.

La prima ipotesi è che il documento Word sia infetto e che l’offerta di lavoro sia un’esca per indurre la vittima ad aprirlo e infettarsi, ma secondo Virustotal.com non sembra contenere infezioni.

L’ipotesi più probabile è che si tratti di un pretesto per farsi mandare dalle vittime delle scansioni dei documenti personali, da usare per altre truffe basate su documenti, come per esempio le truffe sentimentali, le finte prenotazioni alberghiere o i falsi acquirenti di oggetti messi su siti come eBay.

In alcuni paesi, inoltre, una scansione di un documento è sufficiente per creare un conto bancario a nome della vittima, dal quale commettere truffe.

Online, infine, un’immagine di un documento è spesso l’unica cosa che serve per aprire un account autenticato e quindi credibile da usare per inganni o per furti di identità: Twitter, per esempio, ha autenticato il mio account usando solo una foto di un mio documento.

La creatività e la perseveranza dei truffatori via Internet non conoscono limiti: ad aprile scorso l’FBI ha pubblicato un avviso per mettere in guardia le aziende contro una particolare tecnica di truffa che si sta rivelando particolarmente redditizia per i malviventi ed è in rapido aumento (+270% da gennaio 2015): si chiama “wire-wire” o “BEC” (business e-mail compromise).

Funziona in questo modo: i truffatori si procurano gli indirizzi di mail dei dipendenti delle aziende-bersaglio tramite fonti pubblicamente disponibili. Poi infettano uno o più computer dell’azienda in modo da avere accesso alla mail. Leggendo la posta, identificano con pazienza gli indirizzi di mail dei fornitori usati dall’azienda e poi creano un indirizzo di mail molto simile a quello di un fornitore (per esempio pagamenti@rossini-ascensori.com al posto di pagamenti@rossiniascensori.com).

Quando l’azienda attaccata invia un ordine via mail al fornitore, i truffatori leggono il messaggio e lo lasciano arrivare a destinazione, così il fornitore invia una fattura, che viene intercettata e bloccata. Al suo posto i truffatori mandano, dall’indirizzo di mail imitato, una versione leggermente modificata della fattura, nella quale cambia soltanto il conto corrente sul quale effettuare il pagamento (modificare un documento PDF è molto semplice).

La vittima cade facilmente nella trappola perché la fattura è un documento che si aspetta di ricevere e proviene (apparentemente) da un fornitore conosciuto, per cui effettua il bonifico di pagamento, il cui importo finisce nelle mani dei truffatori.

Se la vittima non si accorge che l’indirizzo del mittente è leggermente diverso e non nota che le coordinate bancarie sono differenti, i truffatori incassano con una sola mail decine di migliaia di franchi o euro o dollari (l’FBI parla di importi compresi fra 25.000 e 75.000 dollari per volta).

Sapere dell’esistenza di questo genere di truffa è il primo passo verso la sua prevenzione: molti responsabili dei pagamenti nelle aziende piccole e grandi non immaginano che dei criminali possano essere così persistenti e pazienti.

Non sempre le cose vanno bene per questi ladri digitali, comunque: di recente una banda di oltre 30 truffatori che operava dalla Nigeria in tutto il mondo è stata smascherata perché si è fatta a sua volta infettare da un malware che ha consentito ai ricercatori di un’azienda di sicurezza informatica, la SecureWorks, di sorvegliare il loro traffico e documentarne in dettaglio i reati, che stavano fruttando circa 3 milioni di dollari l’anno.

Ci sono furti di password che bruciano più di altri: trovarsi con un account Instagram violato per molti non è un problema, perché basta farne uno nuovo e avvisare gli amici. Ma se l’account rubato è su Badoo, frequentatissimo sito d’incontri, la cosa scoccia parecchio, perché spesso questi account vengono usati per conversazioni molto intime (e non solo conversazioni) e per infedeltà reali o virtuali. Scoprire che il proprio account su Badoo è stato violato e che qualcun altro ne ha la password potrebbe causare imbarazzi più che notevoli.

L’informatico Troy Hunt, collaboratore esterno di Microsoft, segnala che sono in circolazione nei bassifondi di Internet i dati di circa 112 milioni di account Badoo, e offre un servizio gratuito, HaveIBeenPwned.com (traducibile con “mi hanno fregato” – la P non è un refuso), nel quale si può immettere un indirizzo di mail (proprio o altrui) per sapere se compare negli elenchi di account violati, di cui Hunt fa collezione.

Hunt sottolinea che questo recente elenco di account Badoo non è verificato, nel senso che i responsabili di Badoo non hanno segnalato alcuna violazione del sito e quindi è possibile che si tratti semplicemente di un elenco di utenti che hanno usato su Badoo la stessa password usata anche su un altro sito che è stato violato oppure di utenti che si sono fatti infettare da malware che colleziona password. Casi come questo sono frequenti: è successo di recente per 272 milioni di account Hotmail, Yahoo, Gmail e Mail.ru e per 32 milioni di account Twitter.

Anche se il furto di account Badoo non è verificato, se avete un account presso questo fornitore di servizi è buona cosa cambiarne la password e magari iscriversi gratuitamente al servizio di allerta di HaveIBeenPwned, affidandogli i propri indirizzi di mail in modo da ricevere un avviso se compaiono in qualche archivio di account rubati. E magari abbandonare, una volta per tutte, la pessima abitudine di usare ovunque la stessa password.

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/07/05 14:25.

Di solito mi capita di raccontare attacchi informatici basati su vulnerabilità del software usato dagli utenti o su difetti nella sicurezza tecnica dei social network, ma stavolta ho da raccontare un altro approccio, che serve come chiaro promemoria di una cosa fondamentale: siccome noi utenti per i social network siamo soltanto mucche da mungere, a loro della nostra sicurezza non importa praticamente nulla.

Se i nostri post intimi, che abbiamo impostato come privati perché sono appunto privati, finiscono per diventare pubblici per errore, rovinando un’amicizia o un amore o una carriera, il problema è soltanto nostro, non loro. Quindi pensateci bene prima di affidare a un social network qualunque informazione personale, perché per rubarla non ci vuole nemmeno una gran competenza informatica. Basta chiedere educatamente.

Lo sa bene Aaron Thompson, un ventitreenne che vive nel Michigan. Il 26 giugno scorso si è accorto che non poteva più accedere al proprio account Facebook e che l’indirizzo di mail e i numeri di telefono associati all’account erano stati cambiati.

Ha guardato la propria mail e vi ha trovato uno scambio di messaggi fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account. L’intruso, per evitare la verifica in due passaggi (autenticazione a due fattori), aveva mandato una richiesta di aiuto all’assistenza clienti di Facebook, dicendo che aveva perso l’accesso al proprio numero di telefonino e chiedendo di disattivare l’approvazione degli accessi e il generatore di codici. La richiesta dell’intruso non proveniva dall’account di posta di Thompson (“the hacker didn't have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from.”).

La risposta automatica dell’assistenza clienti era stata molto semplice: l'interlocutore doveva dimostrare di essere il vero Aaron Thompson mandando una scansione di un documento d’identità.

L’intruso aveva risposto mandando questa immagine (alcuni dati sono oscurati nell’immagine qui sotto, ma non lo erano nell’originale inviato a Facebook):

Nessuno dei dati sul passaporto era esatto, a parte il nome, eppure questo è bastato a Facebook per “verificare” l’identità e disattivare tutte le protezioni sull’account di Thompson, cedendone il controllo all’intruso. Facebook poteva confrontare le informazioni nell’account con quelle nel finto passaporto, ma non ha fatto neanche quello.

La motivazione del furto dell’account era probabilmente economica: Thompson ha una serie di pagine Facebook che hanno vari milioni di “Mi piace”, altamente monetizzabili per esempio per uno spammer. Ma l’intruso si è limitato a inviare alcune foto oscene e qualche insulto.

Per riavere il controllo del proprio account su Facebook, Thompson ha dovuto raccontare pubblicamente la propria disavventura su Reddit. La notizia che basta un documento falso per convincere Facebook a disabilitare la verifica in due passaggi, cambiare la mail associata all’account e cambiare la password si è diffusa rapidamente.

Facebook è intervenuta, come racconta Motherboard, e ha ripristinato la situazione, dicendo che “aver accettato questo documento d’identità è stato un errore che ha violato le nostre prassi interne”. Sì, però nel frattempo è successo. Ricordatevelo. E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.

Ricordate Ashley Madison, il sito dedicato agli incontri intimi infedeli i cui utenti furono messi a nudo ad agosto 2015 dal furto e dalla pubblicazione dei loro dati personali maldestramente custoditi? Adesso è il turno di un altro sito dello stesso genere, BeautifulPeople.com, che si vanta di selezionare i propri membri in base al loro aspetto.

A quanto pare BeautifulPeople ha selezionato con lo stesso criterio anche i responsabili della sicurezza informatica, perché i dati personali di un milione di utenti del sito sono ora in vendita nei bassifondi di Internet: nomi utenti, indirizzi di mail, collocazione geografica, caratteristiche fisiche, professione, preferenze sessuali e altro ancora.

I dati sono stati trafugati attingendo a un server di test non protetto sul quale girava il software MongoDB, che ha seri problemi di sicurezza: per esempio, per colpa sua di recente sono finiti online 93 milioni di dati identificativi riservati degli elettori messicani e pochi mesi fa hanno fatto la stessa fine i dati di circa 13 milioni di utenti di MacKeeper. Secondo il motore di ricerca Shodan l’anno scorso c’erano circa 600 terabyte di dati esposti in circa 30.000 database di vari siti grazie alle errate configurazioni di MongoDB.

BeautifulPeople.com dice di aver avvisato tutti gli utenti coinvolti e che le password e le informazioni finanziarie non sono state compromesse. Ma anche senza questi dati le possibilità di ricatto e di furto d’identità sono enormi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Questa sera, intorno alle 21:45, qualcuno ha usato un mio indirizzo di mail e il mio nome per aprire un account su Facebook. Me ne sono accorto perché mi è arrivata la notifica su quell’indirizzo di mail:



Per prendere subito il controllo dell’account ho confermato l’account e immesso il codice di conferma. Fin qui niente di speciale: la cosa che mi ha colpito è che dall’account non ancora confermato erano già partite delle richieste di amicizia.

Io ho confermato l’account intorno alle 23:15, ma alle 21:46 c’era già nel Registro Attività una prima richiesta di amicizia che “io” avrei inviato e le altre erano state fatte nei minuti successivi. Le richieste erano state inviate a persone che assolutamente non conosco: una era stata accettata.


Per il resto l’account era vuoto, a parte la data di nascita (14 marzo 1985, sbagliatissima). Ho cambiato il nome all’account per renderne evidente la natura fittizia, ho impostato una buona password, ho disconnesso gli eventuali dispositivi connessi (non ce n’erano) e ho deciso di tenere attivo l’account vuoto perché così facendo nessun altro può tentare di aprire un account usando quel mio indirizzo di mail (ho verificato che non è possibile).

A qualcuno è mai capitato qualcosa del genere? Il tentativo d’impostura non mi preoccupa, ma mi piacerebbe capire se la creazione di false richieste di amicizia prima ancora di confermare un account sia una funzione normale di Facebook o un bug.

Facebook insiste da tempo che gli utenti devono usare il proprio vero nome e cognome: una caratteristica che lo separa da quasi tutti gli altri social network passati e presenti, nei quali l’uso di un nome di fantasia era non solo tollerato ma anzi incoraggiato. La giustificazione formale è che in questo modo gli utenti sono più sicuri dell’identità delle persone che contattano e sono più responsabilizzati per quello che dicono, ma i maliziosi dicono che in questo modo il valore degli account agli occhi dei pubblicitari aumenta notevolmente.

Quest’obbligo di trasparenza, però, comporta dei problemi a un numero non trascurabile di utenti: quelli che per varie ragioni sono a rischio se rendono pubblica la propria identità, come per esempio gli attivisti politici o chi è vittima di violenze. E come ben sa chi frequenta Facebook, l’efficacia dei controlli di identità di questo social network è davvero modesta e non frena la lingua di molti bulli e molestatori.

Ora Facebook ha annunciato un piccolo ma significativo cambio di rotta: ora chi segnala un utente accusandolo di usare un nome falso dovrà essere più preciso e portare più prove, per evitare che queste segnalazioni diventino una forma di abuso. Inoltre chi usa uno pseudonimo potrà giustificare più facilmente e dettagliatamente le ragioni della scelta. I documenti d’identità che Facebook potrebbe chiedere come conferma saranno gestiti più correttamente e verrà ampliata la rosa di quelli accettati; durante il processo di verifica gli utenti sotto esame potranno continuare ad accedere al proprio account Facebook per sette giorni invece di essere bloccati subito o quasi.

Per ora queste modifiche sono in fase di test per gli utenti che risiedono negli Stati Uniti o per chi simula di essere negli Stati Uniti dal punto di vista informatico, ma verranno estesi a tutto il mondo al termine dell’attuale periodo di sperimentazione.

Da anni ricevo segnalazioni di lettori che cercano informazioni su Google usando il mio cognome come una delle parole chiave, in modo da trovare eventuali articoli scritti da me sull'argomento cercato, e incappano in un sito fake:

http://attivissimo-bufala blogspot it

che usa il titolo “Paolo Attivissimo il Re della Bufala”, imita la grafica del Disinformatico, usa la stessa piattaforma di blogging e pubblica una marea di scempiaggini complottiste (screenshot qui accanto).

Il blog ingannevole giace privo di aggiornamenti da novembre 2009 ma continua a confondere molti utenti, anche se i commenti in coda ai post sono piuttosto eloquenti.

Ho segnalato la questione a Google/Blogger come possibile furto d'identità, ma non c'è stato alcun risultato concreto, nonostante il fatto che il gestore del blog usi il mio vero nome e cognome nel proprio profilo e il fatto che il nome del blog causi confusione nei lettori. Forse rientra nel caso di “parodia o satira di persone” previsto dalle condizioni di Google.

Sia come sia, scrivo questo post per chiarire a chi mi segnala quel blog che:

• sono al corrente della sua esistenza
• non è roba mia
• non so chi c'è dietro
• l'ho già segnalato a Google come possibile abuso (e l'ho segnalato di nuovo a settembre 2014), ma senza risultato
• non ho tempo per insistere sulla questione, ma se volete provarci voi, non ho nulla in contrario
• Internet è fatta così
• una risata lo seppellirà

Grazie a tutti, comunque, per l'interessamento!


Aggiornamento (2014/10/02): il blog è stato rimosso.