Ultimo aggiornamento: 2021/11/29 17:30.

Un noto sito web di compravendita di dati rubati ha pubblicato poco fa un’offerta di dati alberghieri italiani sottratti, mettendoli in vendita a 250 dollari. La quantità è indicata come “155k”, ma non è chiaro se si intendano 155.000 record oppure 155 kilobyte di dati complessivi.

L’offerta (che non ho modo di verificare) include gli schemi dei database rubati e un campione di dati delle vittime. Pubblico qui solo gli schemi parziali, così se qualcuno li riconosce può agire opportunamente.

• email, passwd, lastname, birthday, firstname, secure_key
• city, phone, other, company, postcode, lastname, address1, address2, firstname, vat_number Notes, Name, Email, Surname, Address, Mobile phone, VAT number, Company name, Client type code, telephone_delivery, NameCartellaImages
• piva, faxsede, capsede, codSito, nomeSito, emailsede, emailSito, comunesede, telefonoSito, responsabile, telefonosede, provinciasede, indirizzosede, welcomeMessage, ragionesociale, dominiCollegati, capresponsabile, pivaresponsabile, emailresponsabile, telefonoresponsabile 
• email, Password, ipAddress, language, Name
  

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Un noto forum di hacking ha pubblicato un annuncio, al momento non verificato, secondo il quale sarebbero in vendita sette milioni e mezzo di dati vaccinali italiani risalenti a giugno 2021. Il venditore dice che i dati includono indirizzi di mail, password (per lo più hashed), “nomi, indirizzi, numeri di telefono, codici fiscali, date di nascita e altre informazioni personali”.

Il venditore ha pubblicato due campioni di questi dati, di cui riporto qui soltanto le strutture e i nomi dei campi:

Per il primo campione (circa 900 record): mail, nome, ruolo, cognome, data_nascita, gia_positivo, verificato_2, codice_fiscale, tel cellulare. 

Per il secondo campione: anno, mese, nome, email, giorno, status, cognome, altre_asl, privacy_1, privacy_2, verificato, data_nascita, verificato_2, cap_domicilio, cap_residenza, codice_fiscale.

Come sempre in questi casi, non è possibile verificare l’autenticità di queste asserzioni e un controllo a campione dei dati richiede tempo che non ho (anche perché quando ci provo le vittime si allarmano, si offendono o proprio non rispondono). Il riferimento vaccinale potrebbe benissimo essere stato aggiunto dal venditore per rendere più vendibili i dati sottratti.

Se le strutture e i nomi dei campi vi sono familiari perché siete fra i gestori di questi dati, prendete le misure opportune. Adesso sapete che siete stati probabilmente vittima di una sottrazione di dati personali.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Pubblicazione iniziale: 2021/06/12 16:59. Ultimo aggiornamento: 2021/06/14 10:00.

Stamattina (12/6) è comparso su Twitter un avviso che dice che qualcuno ha postato su un forum sul deep Web un annuncio che offre (a suo dire) i dati di vaccinazione Covid di 7,4 milioni di italiani.

[ALERT] A forum on the DeepWeb has posted a post selling COVID-19 vaccination data of 7.4 Million Italians. pic.twitter.com/O5EcOEqM3s

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) June 12, 2021

So di che forum si tratta, ma non credo che sia opportuno divulgare qui questo dato. Mi limito a precisare che deep Web non è il dark Web che piace tanto ai giornalisti sensazionalisti: è semplicemente la parte di Internet che i motori di ricerca non indicizzano, ed è liberamente consultabile con un comune browser (non occorre Tor, insomma).

La persona che afferma di avere questi dati ha pubblicato sul forum in questione un campione dei dati a riprova di quello che dice, precisando che la versione completa include delle password (circa cinque milioni e mezzo) e che il dataset è in vendita a un prezzo imprecisato. 

I campi pubblicati finora nel campione sono i seguenti:

• mail
• nome
• ruolo (sempre blank)
  
• cognome
• data_nascita
• gia_positivo (sempre blank)
• verificato_2 (yes/no)
  
• codice_fiscale
• tel cellulare

In un altro campione i campi sono invece:

• anno (quasi sempre 2021)
  
• mese (sempre 2)
  
• nome
• email
• giorno (valore numerico a una o due cifre)
  
• status (valori Iscritto o Trasferimento in ingresso)
  
• cognome
• altre_asl
• privacy_1
• privacy_2
• verificato
• data_nascita
• verificato_2
• cap_domicilio
• cap_residenza
• codice_fiscale
  

David Puente su Open fornisce ulteriori dettagli e sospetta che si tratti di una truffa, nel senso che i dati non sarebbero privati ma sarebbero in realtà pubblici e di una categoria ben specifica (i record esaminati da Puente riguardano “medici, psicologi e psicoterapeuti del Sud Italia”). Anche ItalianTech ha pubblicato una prima analisi del campione reso pubblico, che conferma l’appartenenza dei dati a operatori sanitari, e ha successivamente contattato l’autore dell’annuncio, che dice di aver messo in vendita i dati a 5000 dollari e non ha parole gentili per la competenza tecnica dei gestori dei siti dai quali ha estratto i dati.

Secondo una fonte riservata che conosce direttamente i dati, almeno parte del campione proverrebbe dal database della web app di vaccinazione della Regione Campania. Alcune delle persone sarebbero operatori sanitari perché i primi ad essere vaccinati sono stati appunto questi operatori. Un primo riscontro sembra confermare che almeno una parte dei dati messi in vendita corrisponde esattamente al contenuto del database campano.

Sono in contatto con l’autore dell’annuncio, che dichiara che si tratta di un’aggregazione di vari database provenienti da fonti differenti (circa 150, secondo le informazioni raccolte da Matteo Flora). A suo dire le password sono in parte in chiaro e per la maggior parte hashed.

Insomma, ci sono dubbi sull’autenticità dell’offerta. Non va dimenticato che si tratta di un’offerta fatta da una persona che si presenta come criminale informatico e che quindi ha ogni incentivo per mentire o confondere la situazione in modo da ottenere la massima monetizzazione delle proprie attività. 

Questo è quello che so e che posso pubblicare al momento.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Ultimo aggiornamento: 2020/04/24 15:25.

L’amico e collega Medbunker ha posto oggi su Twitter una domanda alla quale ho provato a dare una risposta rapida. Ricopio qui lo scambio, che magari è utile a qualcuno, con qualche nota e qualche ripulitura.

Per evitare equivoci: non sono contrario per principio alle app di tracciamento per le emergenze sanitarie; sono contrario a quelle fatte male. Scrivo questi appunti non per contrarietà alle app, ma per far capire quanto è dannatamente difficile fare un’app di questo genere in modo efficace e corretto.


Medbunker: Riguardo la app di tracciamento sono incompetente e probabilmente ho i dubbi di tutti. Percepisco un grande problema etico (dati sensibili importanti lasciati a privato). Chi ha competenza chiarirebbe se rischio reale per privacy superiore a quello ordinario di internet? Grazie.

Io: Provo a fare una sintesi. Premetto che il problema principale NON è la privacy, ma la sicurezza, e tutto dipende da _come_ è fatta l'app.

Per privacy:

1. vengono raccolti i tuoi dati di salute, giorno per giorno. Roba che fa gola a tanti. Industrie, marketing, governi rivali.

2. Viene raccolta la catena dei tuoi contatti con le persone. Quindi si sa se vai in moschea, se vai dal ginecologo ( :-) ) [Medbunker è appunto ginecologo], se vai dall'avvocato, se vai con escort/amante, se incontri un politico di nascosto, se ti raduni per fondare un movimento di opposizione.

3. Un governo può sapere (SE l'app è fatta male) esattamente chi ha partecipato a una manifestazione di civile protesta. Un potere che fa gola. Tu andresti a manifestare contro il governo se dovessi depositare un tuo documento in Questura per partecipare?

[NOTA: NSA fa già questo genere di raccolta dati con il suo strumento CO-TRAVELER]

4. Google, Apple, Facebook non hanno altrettanto potere. Nemmeno con i loro strumenti di analisi di quello che postiamo e con la localizzazione. Anche perché li possiamo usare senza dare informazioni personali (postando solo gattini e buongiornissimi, per esempio).


Per sicurezza:

5. Qui si tratta di dare a un'app un potere immensamente maggiore di Google/Apple/FB: quello di obbligarci a stare a casa se "risultiamo" positivi a un algoritmo (che non sappiamo quanto sbagli).

6. L'app ti dice: stai a casa, sei entrato in contatto con un positivo. E perdi il lavoro. Questo Google/FB/Apple non te lo fanno.

7. Un troll, un rivale, un terrorista circola in metropolitana con un telefonino che emette il segnale (vero o fasullo) "sono positivo". Risultato: migliaia di persone si auto-isolano. È come una bomba, ma invisibile e silente. Rischio per chi la usa: zero. Questo fa gola.

[NOTA: Chi obietta che il positivo risulta tale solo dopo diagnosi da parte di un medico e quindi non è possibile simulare la positività deve considerare che un troll o terrorista potrebbe anche farsi infettare per diventare realmente positivo. Chi pensa che nessuno sarebbe così pazzo dia un’occhiata al caso della setta coreana Shincheonji. O pensi al caso della persona che ragiona “sono positivo, ma se sto a casa perdo il lavoro e se lascio a casa il telefono i clienti non mi trovano”, dello studente che pensa “mi metto accanto a una positiva così l‘app mi obbliga a stare a casa da scuola, yay” oppure dello scemo che dice “sono positivo ma esco lo stesso e mi porto pure il telefono perché sono scemo fino in fondo”]


8. È brutto dirlo, ma c'è [presumo che ci sia] in ogni governo una stanza dove un funzionario sta facendo il conteggio di quanto si risparmierà in pensioni a causa della morìa degli anziani. E accanto a quella stanza ce n'è [presumo che ce ne sia] un'altra in cui si pensa come sfruttare la pandemia per indebolire il "nemico".

9. La campagna antivaccinista, quella anti-5G, quella sulle "scie chimiche" sono tutte alimentate (anche) dai dipartimenti di propaganda di vari paesi. Non è una novità; è semplicemente [la strategia vecchia] confezionata diversamente. Info su @STRATCOMCOE.

10. Logicamente, [è ragionevole presumere che] alcuni governi stiano considerando quale vantaggio strategico possono ottenere indebolendo i rivali tramite canali digitali come appunto i falsi positivi dell'app anti-Covid-19.

11. So che questi discorsi profumano facilmente di complottismo, ma è sufficiente ripassare un po' di storia (non solo informatica) recente per vedere che questo tipo di strategia esiste da decenni. Cambridge Analytica, RT.com, Voice of America... così fan tutti.

[NOTA: Lolita di Nabokov fu sponsorizzato dagli Stati Uniti come arma contro l’Unione Sovietica per fiaccare il morale e indebolire la propaganda governativa. L’URSS sponsorizzava direttamente o indirettamente i cantanti italiani che si esibivano nei Festival de L’Unità e i cantautori che cantavano cose tristi, deprimenti e sovversive perché criticavano il potere e l’ordine sociale. Così fan tutti]

12. Cina con i dati dell'OPM americano: en.wikipedia.org/wiki/Office_of…. E ovviamente tutte le cosine simpatiche rivelate/confermate da Snowden.

13. Svizzera con la crittografia farlocca (en.wikipedia.org/wiki/Crypto_AG), eccetera. Per questo parlo di rischio sicurezza più che di privacy: perché mi aspetto, logicamente, che qualcuno stia già studiando come sabotare quest'app per indebolire il paese rivale.

14. In fin dei conti, perché spendere in bombardieri e carri armati quando mi basta insinuare nella popolazione del paese bersaglio il dubbio che i vaccini facciano male? Si vaccineranno di meno, moriranno di più, e i costi sanitari saliranno, rendendo quel paese più debole.

15. Per questo gli esperti hanno chiesto in coro di poter verificare che l'app rispetti tutti i criteri di sicurezza oltre che di privacy. Per questo, e per evitare che l'app dia troppo potere al governo locale. Che oggi ti piace, ma domani come sarà? (v. IBM e nazismo).

16. Con questo ho auto-Godwinizzato il thread e quindi mi autozittisco :-)


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

A ottobre scorso Google ha annunciato che avrebbe chiuso la versione consumer di Google+ ad agosto 2019. Ma pochi giorni fa ha cambiato idea: la chiusura verrà anticipata ad aprile 2019.

La ragione della chiusura anticipata è la scoperta di un’altra falla, dopo quella che aveva ispirato la decisione di chiudere Google+.

Quest’altra falla permetteva agli intrusi di carpire nomi, età, genere, stato delle relazioni, indirizzi di mail, indirizzi di abitazione, professioni e/o scuole frequentate e in generale le informazioni del profilo anche quando l’utente le aveva impostate come private.

Sono state risparmiate, per fortuna, le password, anche se i dati personali resi pubblici sarebbero stati sufficienti in molti casi per operazioni di sorveglianza, stalking o molestia. Il danno riguardava circa 52 milioni di utenti.

Se avete immesso in Google+ dati che volete conservare, sbrigatevi a farlo: avete poco più di tre mesi di tempo. Potete farlo anche subito, con questa procedura:

1. Andate a Google Takeout (takeout.google.com)
2. Nell’elenco di tipi di dati, cliccate su Deseleziona tutto
3. Attivate solo la selezione di G+1
4. Andate in fondo all’elenco e cliccate su Avanti 
5. Scegliete il formato del file e il metodo di consegna
6. Cliccate su Crea archivio. 

Buon lavoro.

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.


Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

Dopo la mail errata del sondaggio Sheraton, ecco un altro esempio di scarsa custodia dei nostri dati personali e di ancora più scarsa diligenza nel segnalarne il furto. La compagnia aerea Cathay Pacific ha annunciato due giorni fa che si è fatta rubare i dati di circa 9,4 milioni di passeggeri.

O meglio, per dirla nel modo obliquo in cui l‘ha detta l’azienda, ha annunciato “un evento di sicurezza dei dati che ha effetto sui dati dei clienti”. Ci vuole un po’ di attenzione per capire che vuol dire “ci siamo fatti fregare”.

Sono stati sottratti nomi e cognomi, nazionalità, date di nascita, numeri di telefono, indirizzi di mail, indirizzi postali, numeri di passaporto e di carte d’identità, cronologie dei viaggi e molto altro ancora: tutto il necessario per organizzare truffe e furti di identità.

Come se non bastasse, il furto è avvenuto a maggio scorso ma è stato reso pubblico solo ora. Le normative come il GDPR, però, prevedono che violazioni di questo genere vengano comunicate entro 72 ore. E il GDPR ha effetto in tutto il mondo, se i cittadini colpiti dalla violazione sono europei.

La compagnia aerea ha dichiarato che sta contattando i passeggeri colpiti, ma questo paradossalmente potrebbe complicare le cose: non ci vuole molta originalità per immaginare bande di truffatori che lanciano una campagna di phishing spacciandosi per funzionari della Cathay Pacific che vogliono aiutare le vittime del furto informatico.

Prudenza, quindi, se sospettate di essere coinvolti in questo incidente informatico. Per saperne di più, consultate direttamente l’indirizzo infosecurity.cathaypacific.com.


Fonti: Tripwire, The Register.

Fonte: Mike Isaac su Twitter.

Ultimo aggiornamento: 2018/10/16 18:25.

Facebook ha ammesso che a metà settembre scorso ha subìto un attacco informatico che è durato due settimane e ha portato al furto dei dati di circa 30 milioni di account.

L’attacco, spiega Ars Technica (anche qui), è stato reso possibile da tre falle distinte presenti da più di due anni nel software del social network, secondo quanto dichiarato dall’azienda, e ha permesso agli intrusi di portarsi a casa anche i dati più personali e privati degli utenti Facebook presi di mira: numeri di telefono, indirizzi di mail, date di nascita, luoghi visitati, argomenti cercati e altre informazioni teoricamente etichettate come private o riservate agli amici.

Per sapere se siete stati colpiti da questo ennesimo attacco potete accedere al vostro account Facebook e poi visitare un’apposita pagina del social network: www.facebook.com/help/securitynotice. La pagina è disponibile soltanto in inglese [aggiornamento: ora anche in italiano] e questo di certo non facilita il compito ai tanti utenti del social network che non parlano correntemente questa lingua.

Se riuscite a superare questo ostacolo troverete in questa pagina un avviso che vi informa se siete tra le decine di milioni di persone colpite da questo attacco. Se vedete scritto "not been impacted" [“non è stato interessato da questo incidente di sicurezza”], siete a posto: se invece vedete un elenco di informazioni personali, siete potenzialmente nei guai, perché l’elenco mostra tutte le vostre informazioni lette dagli intrusi.

Potreste pensare che se non avete messo in Facebook nulla di troppo personale o imbarazzante non correte rischi, ma purtroppo non è così: infatti spesso questi furti in massa di dati personali servono per raccogliere informazioni da usare per altre truffe informatiche e non per effettuare ricatti personali diretti.

Sapere i luoghi che visitate, il vostro numero di telefono e altri vostri dettagli personali consente infatti ai truffatori di confezionare messaggi estremamente personalizzati e credibili, e in alcuni casi anche contatti telefonici diretti, che possono indurvi a fidarvi del mittente o dell’interlocutore e rivelargli informazioni bancarie o password o farvi mandare denaro.

Immaginate per esempio un genitore che riceve via Facebook quello che sembra essere un messaggio urgente dal figlio in vacanza all’estero, che gli chiede di mandargli soldi per tirarlo fuori da un guaio con la carta di credito, ma è in realtà una trappola creata dai truffatori che sanno come si chiama il figlio e sanno anche che è davvero in vacanza.

Spesso non è necessario che i dati rubati siano i vostri: basta che siano quelli di qualche vostro parente, collega o conoscente. Di conseguenza conviene fare molta attenzione, ancora più del solito, a qualunque mail, messaggio o chiamata che usi dati personali vostri o di qualcuno che conoscete per darsi credibilità.

Incidenti come questo sottolineano alcuni principi di prudenza sempre validi: niente di quello che immettete in un social network è da considerare sicuro o privato, e tutto verrà usato contro di voi. Anche i dati più apparentemente innocui. Morale della storia: meno dati reali mettete online, meno rischiate.

Si fa un gran parlare di protezione dei dati digitali, GDPR (regolamento generale sulla protezione dei dati) e relative sanzioni, per cui sembra ragionevole pensare che le aziende siano ben attente nel gestire i dati dei clienti. Il GDPR, in particolare, prevede sanzioni talmente pesanti in caso di fuga di dati sensibili che parrebbe ovvio e inevitabile investire in misure di sicurezza.

È di ieri la notizia della fuga di dati del database di Rousseu, la piattaforma del Movimento 5 Stelle, già protagonista di una precedente fuga: trovate i dettagli su DavidPuente.it e in questo articolo di Martina Pennisi sul Corriere della Sera online. Ma non è certo un caso isolato.

In queste settimane ho seguito un tipo molto specifico di fughe di dati: quelle tramite i bucket di Amazon. I bucket sono degli spazi a noleggio per la custodia dei dati. In pratica, un’azienda, invece di investire in un proprio server nel quale depositare i propri dati, può affittare spazio sui server di Amazon e mettere lì i dati. Amazon garantisce spazio e traffico a volontà: basta pagare.

Il grosso vantaggio è la flessibilità: una piccola azienda può espandersi in fretta senza dover aspettare di comperare dei propri server aggiuntivi, affittando invece spazio su Amazon. Due clic e lo spazio raddoppia, triplica, si decuplica. Quando non serve più si abbandona.

Il problema è che se il bucket non viene configurato correttamente, i dati sono accessibili a chiunque, perché hanno un link pubblico. E non è difficile scovarli. Questo è un esempio di un bucket lasciato aperto, riguardante un’azienda russa:




Basta cliccare su uno qualsiasi dei link e compaiono scansioni di passaporti come questa (ho mascherato io i dati in tutte le immagini seguenti):




In un altro bucket ci sono dati sanitari italiani:




Altrove ci sono backup di database, tessere sanitarie, password, tabelle di contabilità, documenti di tribunali:


Estratti conto di una banca messicana:



La cosa curiosa è che alcuni bucket sono già stati visitati da qualcuno che ha lasciato un cortese avviso:

Hello,
This is a friendly warning that your Amazon AWS S3 bucket settings are wrong.
Anyone can write to this bucket.
Please fix this before a bad guy finds it.

Insomma, il problema è piuttosto diffuso e largamente ignorato.

Magari vi state chiedendo quali tipi di reato si possano compiere realisticamente con una scansione di un documento d’identità. Non voglio regalare spunti criminogeni a nessuno, per cui mi limito a un solo esempio già divulgato: ricordate la truffa “Questa è la tua password, sappiamo che hai visitato siti porno, ti abbiamo registrato, ora paga altrimenti diffonderemo il video”? Ne avevo parlato a luglio scorso.

Immaginate quanto diventa più credibile questa truffa se il suo messaggio dichiara di provenire dalla polizia e include i vostri dati anagrafici, il vostro numero di telefono e il numero di un vostro documento e vi intima di pagare una multa per evitare conseguenze più gravi.

Cosa si fa quando ci si imbatte in casi come questi? La soluzione più diretta sembrerebbe essere quella di contattare le aziende responsabili, ma ve lo sconsiglio: quando lo faccio io, pur qualificandomi come giornalista e informatico, la maggior parte delle volte non vengo creduto.

La cosa più efficace è segnalare dettagliatamente il tutto alle autorità apposite: per esempio, in Svizzera ci sono l’apposita pagina dell’Ufficio Federale di Polizia e quella di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione); in Italia ci si rivolge al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Che è quello che ho fatto io per questi casi. Speriamo in bene.

Se state andando online a caccia di regali natalizi, siate prudenti, perché anche i truffatori digitali sono in Rete a caccia di vittime in questa stagione. Ecco alcuni consigli di sicurezza per ridurre il rischio di incappare in spiacevoli sorprese.

• Se potete, usate un computer o un tablet, invece del telefonino, per fare acquisti: lo schermo più grande permette di mostrare più chiaramente le informazioni di sicurezza, come per esempio il nome completo del sito e la presenza del lucchetto chiuso accanto a questo nome. È importante ricordare che il lucchetto chiuso non va preso come garanzia assoluta di identità ma solo come indicatore negativo, nel senso che se non c’è si tratta sicuramente di un sito truffaldino, mentre se c’è potrebbe comunque esserci un inganno, anche se è improbabile.
• Per evitare i siti trappola conviene restare sui siti commerciali familiari, ben conosciuti, evitando quelli mai visti prima, e digitare manualmente i nomi di questi siti invece di cliccare su link ricevuti nella mail o nelle pubblicità dei social network. I truffatori, infatti, usano spesso mail, messaggi social e pubblicità online per fare offerte troppo belle per essere vere: meglio diffidare di promesse mirabolanti ricevute attraverso questi canali.
• Occhio anche alle app di shopping: una delle particolarità di questo periodo, infatti, è che i criminali informatici stanno offrendo su App Store e in Google Play delle app ingannevoli, che promettono di facilitare gli acquisti o di attivare supersconti ma in realtà rubano password e carte di credito.
• Già che ci siete, cogliete l’occasione per aggiornare il vostro antivirus e il software del vostro dispositivo (iOS, Android, MacOS o Windows), per evitare che sia infetto con qualche virus che spia i vostri acquisti e ruba dati finanziari personali.
• Usare una carta di credito prepagata è preferibile rispetto alla carta di credito tradizionale, perché in caso di furto il truffatore può sottrarre soltanto l’ammontare caricato sulla prepagata, che di solito è molto più modesto rispetto al limite di spesa mensile di una carta di credito ordinaria. È ancora più preferibile, però, evitare del tutto le carte di credito dove possibile e usare i sistemi di pagamento digitali, come PayPal o ApplePay, in modo da non far circolare troppo i dati della propria carta.
• E a proposito di sistemi di pagamento, è molto importante rifiutare qualunque invito a usare sistemi alternativi a quelli raccomandati dallo specifico sito dove si fanno acquisti. Alcuni venditori, infatti, propongono sconti se si usano altre forme di trasferimento di denaro, ma così facendo si perde ogni garanzia offerta dal sito che ospita la vendita.

Fate buona spesa in Rete, insomma, tenendo sempre gli occhi aperti, e segnatevi fra i buoni propositi per l’anno prossimo quello di controllare gli estratti conto e contestare eventuali addebiti inattesi: siete ben garantiti in questo senso. Nonostante le dicerie e le paure diffuse, se seguite questi semplici consigli tecnici e di buon senso, fare acquisti online è sicuro e fa risparmiare tempo e stress.


Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 19/12/2017. Fonte: Watchguard.com/Secplicity.org.

I fallimenti informatici degli altri hanno un’importante funzione consolatoria: se avete rovesciato il caffè nel laptop del capo, potete sempre dire “beh, perlomeno non ho distrutto il server della contabilità”. Oppure, se volete essere realistici, potete dire “beh, perlomeno non ho messo online a portata di tutti i dati personali di trenta milioni di persone”.

È quello che è successo in Sud Africa: i dati di una trentina di milioni di cittadini, con nomi, cognomi, indirizzi, reddito stimato, cronologia occupazionale e molto altro, compreso l’identificativo unico di 13 cifre usato dall’amministrazione pubblica sudafricana, è finito misteriosamente online, come segnala Troy Hunt di HaveIBeenPwned.com. Un archivio di circa 27 GB, perfetto per furti d’identità su vasta scala e già smerciato fra i truffatori della Rete.

I dettagli della fuga di dati, paragonabile per gravità a quella recente di Equifax che ha interessato circa 140 milioni di americani e molti cittadini europei, sono su Iafrikan.com e indicano che i dati sono stati sottratti a una delle grandi aziende che doveva custodirli. Se volete dare un’occhiata senza pericolo, gli header descrittivi dell’archivio sono qui su Pastebin.com.

Ancora una volta, insomma, le aziende che dovrebbero proteggere i nostri dati sensibili, sfruttabili per truffe e crimini di ogni genere, si sono dimostrate incapaci di farlo. Non c’è insomma da stupirsi se poi il cittadino perde fiducia nell’informatizzazione delle amministrazioni pubbliche e dei servizi.

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.

Credit: Mister Metokur.

La settimana scorsa ho segnalato l’attacco informatico sferrato contro Equifax, che ha consentito la sottrazione di dati estremamente sensibili riguardanti le valutazione creditizia di 143 milioni di utenti, circa metà della popolazione statunitense: un bersaglio ghiottissimo per truffe e furti d’identità di ogni genere.

Ora stanno emergendo i dettagli di questo attacco, e il comportamento di Equifax sta somigliando sempre più a una barzelletta amara.

Per esempio, l’attacco è stato reso possibile perché Equifax non aveva installato gli aggiornamenti di Apache Struts, secondo la Apache Software Foundation e le ammissioni della stessa Equifax.

Non ha certo complicato la vita agli intrusi il fatto che Equifax “proteggeva” uno dei suoi database in Argentina usando come login e password il classico admin:admin, come racconta CNBC.

E il ricercatore di sicurezza Kevin Beaumont ha trovato, pubblicamente accessibili sul sito di Equifax, i resoconti dell’audit di sicurezza effettuati qualche anno fa dalla KPMG.

For some reason Equifax have their KPMG security audits sat on their website. pic.twitter.com/gpIyqciWwg

— Kevin Beaumont (@GossiTheDog) 14 settembre 2017

Come li ha trovati? Facendo una semplice ricerca in Google.

it's on google pic.twitter.com/X56hndzpgn

— Kevin Beaumont (@GossiTheDog) 14 settembre 2017

Poco dopo la segnalazione, i documenti sono stati rimossi (non prima che me ne scaricassi una copia).

Equifax ha anche messo a disposizione degli utenti un servizio d’emergenza che generava un PIN per “proteggere” la propria situazione, ma è emerso che il PIN era semplicemente un numero progressivo composto dalla data e dall’ora corrente, quindi facilissimo da scoprire per forza bruta.

Come se tutto questo non bastasse, Ars Technica segnala che gli intrusi sono riusciti a raccogliere dati sulle transazioni di circa 200.000 carte di credito, risalenti oltretutto fino a novembre 2016. Questo fatto indica che o Equifax non stava cifrando i dati delle carte o c'era un componente del suo software che dava accesso ai dati in forma decifrata; inoltre la conservazioni di questi dati sarebbe stata una violazione degli standard basilari del settore.

Ma ormai è piuttosto chiaro che ancora una volta una grande azienda del settore dei servizi è stata colta ad usare consapevolmente metodi e processi di sicurezza assolutamente inadeguati.

Fonte: Kenn White.

Stanotte è stato reso pubblico un furto di dati ai danni di circa 143 milioni di americani, cioè il 44% della popolazione. Numericamente ci sono stati casi peggiori, come quello dei dati di 412 milioni di utenti del sito d'incontro AdultFriendFinder l'anno scorso e quello che ha colpito un miliardo e mezzo di utenti di Yahoo.

Ma questo furto di stanotte è particolarmente pesante per il tipo di dati rubati: nomi e cognomi, numeri della previdenza sociale, date di nascita, indirizzi, numeri di patente di guida e in alcuni casi anche dati di carte di credito. In altre parole, dati perfetti da usare per compiere truffe spacciandosi per qualche autorità o impersonando qualcuno. E soprattutto dati che, a differenza di una password, non si possono cambiare. Nomi, cognomi e numeri di previdenza sociale sono validi per sempre.

La cosa particolarmente bruciante di questo furto recentissimo è la fonte: è Equifax, ossia una delle più grandi società statunitensi dedicate alla gestione delle violazioni dei dati personali. Quando un’azienda subisce un furto di dati, protegge i propri clienti rivolgendosi a Equifax. Ma stavolta chi proteggerà i 143 milioni di utenti, che dipendono proprio da Equifax per cose come prestiti e crediti?

Cosa peggiore, Equifax ha reagito al furto in maniera disastrosa: ci ha messo cinque settimane a rivelarlo, e il sito che ha creato per consentire agli utenti di verificare se sono stati rubati i loro dati personali, www.equifaxsecurity2017.com, non ha le sicurezze di base e non è neanche registrato a nome di Equifax, tanto che le applicazioni di sicurezza e i servizi di protezione come OpenDNS lo hanno segnalato come sito potenzialmente fraudolento.

Per saperne di più consiglio di leggere le ricostruzioni e le analisi di questo epic fail fatta da Ars Technica e da Brian Krebs: contengono lezioni importanti per qualunque azienda e governo che abbia digitalizzato la gestione dei propri clienti e cittadini e pensi di aver fatto abbastanza.

Il disastro del miliardo di account Yahoo violati annunciato di recente ha un’unica circostanza attenuante: essendo avvenuto tre anni fa, nel frattempo molti utenti hanno comunque cambiato le proprie password o hanno smesso di usare i propri account Yahoo. Ma questo non vuol dire che quest’enorme collezione di dati non sia sfruttabile e non faccia gola ai grandi criminali informatici.

I dati sottratti sono stati venduti al mercato nero ad almeno tre acquirenti distinti, ciascuno dei quali avrebbe pagato circa 300.000 dollari, stando alle fonti del New York Times. Gli acquirenti sarebbero due spammer e un altro gruppo interessato allo spionaggio.

Ma cosa se ne fanno, questi criminali, di account che hanno probabilmente password obsolete? Una risposta è che di solito gli utenti cambiano periodicamente le password, ma raramente cambiano le risposte alle domande di recupero password (anche perché domande del tipo “Come si chiamava tua madre da nubile?” di solito hanno risposte che non variano nel tempo).

Questo significa che i malfattori possono rubare gli account anche se non hanno la password aggiornata: usano le risposte alle domande di recupero, che fanno parte dei dati trafugati a Yahoo. Non solo: dato che appunto le risposte alle domande non cambiano, possono usare quelle che avete immesso in Yahoo per rubarvi anche account che avete altrove e che dipendono dalle stesse domande. Di conseguenza, sarebbe una buona idea prendere l’abitudine di rispondere con dati di fantasia alle domande di recupero (segnandosi ovviamente in un luogo sicuro le risposte).

Ma c’è un motivo ancora più significativo per l’acquisto di dati come quelli sottratti a Yahoo: Bloomberg segnala che fra i dati ci sono quelli di oltre 150.000 dipendenti governativi e militari statunitensi. Per una potenza straniera, mettere le mani su “nomi, password, numeri di telefono, domande di sicurezza, date di nascita e indirizzi di e-mail di riserva” di “personale attuale e passato della Casa Bianca, membri del Congresso USA e loro assistenti, agenti dell’FBI, dell’NSA, della CIA” e altri ancora, elencati da Bloomberg, è altamente desiderabile.

Durante il recente convegno di sicurezza DEF CON di Las Vegas sono state presentate numerose tecniche di attacco informatico davvero creative e originali che è meglio conoscere per evitarle. Una di queste tecniche consente di rubare password, leggere mail e sorvegliare la navigazione semplicemente offrendo alla vittima di caricare la batteria del suo smartphone.

Il trucco, chiamato videojacking, funziona così: la vittima si trova in un luogo pubblico, a corto di carica (come capita spesso con gli smartphone di oggi), e vede che c’è un punto di ricarica per telefonini cortesemente offerto, come capita per esempio in alcuni aeroporti, sui treni e sugli aerei. Collega il telefonino e comincia a usarlo. Che male ci potrà mai essere? È solo una ricarica di energia elettrica.

In realtà i connettori degli smartphone non portano soltanto energia elettrica per la carica della batteria: veicolano anche segnali. Così si catturano questi segnali, e in particolare il segnale video in uscita dal telefonino (quello che consente di mostrare su un monitor lo schermo dello smartphone), in modo da vedere e registrare tutto quello che compare sullo schermo, comprese le password digitate, riconoscibili dal fatto che i singoli tasti toccati per digitare la password si animano quando vengono usati. Questo consente anche di catturare i PIN di blocco.


La particolarità di questa tecnica è che al momento è invisibile per la vittima: sia gli smartphone Android, sia gli iPhone non avvisano l’utente quando viene collegato un connettore che non solo fornisce corrente elettrica ma riceve anche i segnali video dallo schermo.

I ricercatori Brian Markus di Aries Security e i suoi colleghi Joseph Mlodzianowski e Robert Rowley hanno dimostrato il metodo d’intercettazione improvvisando un apparato dimostrativo con un monitor HDMI di seconda mano, un video splitter e un piccolo registratore video USB. Costo complessivo: circa 220 dollari a parte il monitor.

Questa tecnica è una variante del juice jacking, che fino a qualche tempo fa consentiva di rubare dati agli smartphone che venivano incautamente collegati a punti di ricarica sconosciuti; il problema è stato risolto nelle versioni aggiornate dei dispositivi e dei loro sistemi operativi.

Morale della storia: se avete uno smartphone, pensateci bene prima di collegarlo a un dispositivo di ricarica che non sia vostro o comunque fidato, e portate se possibile il vostro o perlomeno usate uno USB condom che blocchi tutti i collegamenti tranne quelli di alimentazione elettrica. No, non sto scherzando: esiste davvero e si chiama proprio così.


Fonte: Krebs on Security.

Ricordate Ashley Madison, il sito dedicato agli incontri intimi infedeli i cui utenti furono messi a nudo ad agosto 2015 dal furto e dalla pubblicazione dei loro dati personali maldestramente custoditi? Adesso è il turno di un altro sito dello stesso genere, BeautifulPeople.com, che si vanta di selezionare i propri membri in base al loro aspetto.

A quanto pare BeautifulPeople ha selezionato con lo stesso criterio anche i responsabili della sicurezza informatica, perché i dati personali di un milione di utenti del sito sono ora in vendita nei bassifondi di Internet: nomi utenti, indirizzi di mail, collocazione geografica, caratteristiche fisiche, professione, preferenze sessuali e altro ancora.

I dati sono stati trafugati attingendo a un server di test non protetto sul quale girava il software MongoDB, che ha seri problemi di sicurezza: per esempio, per colpa sua di recente sono finiti online 93 milioni di dati identificativi riservati degli elettori messicani e pochi mesi fa hanno fatto la stessa fine i dati di circa 13 milioni di utenti di MacKeeper. Secondo il motore di ricerca Shodan l’anno scorso c’erano circa 600 terabyte di dati esposti in circa 30.000 database di vari siti grazie alle errate configurazioni di MongoDB.

BeautifulPeople.com dice di aver avvisato tutti gli utenti coinvolti e che le password e le informazioni finanziarie non sono state compromesse. Ma anche senza questi dati le possibilità di ricatto e di furto d’identità sono enormi.

In occasione di incursioni informatiche che rendono pubblici dati personali, come è capitato di recente con vari portali di ricerca di lavoro in Italia e in Ticino, capita spesso di sentire utenti liquidare l’incidente con un’alzata di spalle e l’obiezione “Cosa vuoi che se ne facciano dei miei dati personali? Non c’è niente di compromettente”.

In realtà i criminali informatici hanno un uso perfetto per questi dati personali: creare false mail infettanti perfettamente credibili, alle quali la vittima abbocca. La maggior parte dei messaggi-esca dei truffatori, quelli che fingono di provenire da banche o da servizi online e invitano a cliccare su un link per mettere in regola il proprio account o a scaricare un allegato contenente virus, è facilmente riconoscibile: è scritta in italiano traballante (o addirittura in altre lingue), è intestata a un generico “gentile utente” e contiene espressioni che una banca o un servizio online difficilmente userebbe. L’utente riconosce la trappola e cancella il messaggio senza seguirne le istruzioni.

Ma i furti di dati personali consentono di fabbricare mail di phishing estremamente personalizzate. Una falsa mail di un’agenzia di riscossione crediti, o di un corriere di spedizioni che vi avvisa di un pacco da ritirare, che riporti il vostro nome, cognome e indirizzo di casa o di lavoro ha buone probabilità di sembrare abbastanza credibile da stuzzicare la vostra curiosità e farvi aprire l’allegato. E a quel punto il danno è fatto.

Questa è la tecnica letale usata da un attacco informatico segnalato da Naked Security: una mail-trappola che riporta nome e cognome della vittima insieme al suo indirizzo postale e porta le sue vittime a scaricare un finto documento che è in realtà un ransomware per Windows, denominato Maktub, che blocca i dati delle vittime con una password complicatissima e poi chiede un riscatto in denaro per fornire questa password.

Per evitare di finire in trappole come queste conviene adottare una regola generale: non cliccare mai su un link in un messaggio di questo genere e non scaricare e aprire eventuali allegati, ma usare un altro canale (per esempio una telefonata) per verificare che il messaggio sia autentico, cliccando o aprendo solo dopo che questo controllo ha dato esito positivo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po' di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c'è anche il controllo sulla coerenza del codice fiscale. L'unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell'indirizzo ci sia il nome corretto del sito insieme all'icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “lunasalva*” e “ema2*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto ricocr*). Ultimo aggiornamento: 2015/09/08 13:00.

È la tendenza commerciale del momento: vendere dispositivi che di nascosto rubano dati personali ai clienti, in modo da guadagnare sulla vendita di questi dati oltre che dei dispositivi.

Compri una Smart TV e senza saperlo le tue abitudini televisive vengono schedate e rivendute a chi si occupa di misurare gli ascolti dei programmi o degli spot. Metti un selfie su un social network e la tua foto geolocalizzata, in cui indossi un capo con un logo famoso o brindi con una Red Bull, viene riconosciuta da sistemi automatici di riconoscimento dei loghi (come Streamditto) e venduta ai pubblicitari, ansiosi di sapere chi consuma il loro brand, dove lo fa e a che età lo fa. Compri un gingillo elettronico di fitness e le condizioni del tuo cuore vengono acquisite e rivendute a chi vuole dati statistici sulla salute della popolazione.

E magari è tutto legale, perché hai cliccato Accetto i termini e le condizioni d'uso senza tentare di decifrarle, perché la vita è troppo breve per passarla a leggere il burocratese, e quindi non sai che cosa hai dato il permesso di fare.

La sfrontatezza di questi spioni commerciali non conosce limiti. Capita anche che compri un telefonino e te lo trovi preinfettato. G Data ha pubblicato un rapporto sul malware che segnala, fra le altre cose, un numero crescente di smartphone che contengono malware già al momento della vendita.

Secondo G Data, nessun produttore di telefonini è così cretino da rischiare la propria reputazione preinfettando i propri prodotti in fabbrica (ma chissà perché mi viene in mente il nome Lenovo), per cui si presume che la colpa sia degli intermediari. “In aggiunta ai ricavi ottenuti dalla rivendita del dispositivo, cercano di ottenere guadagni aggiuntivi dai dati rubati agli utenti e dalle pubblicità forzate”, spiega G Data.

Tipicamente il telefonino viene preinfettato alterando un'app legittima molto popolare, per esempio quella di Facebook, che viene attivata dall'utente per poterla usare, dando quindi i permessi di accesso ai dati. Questo permette a terzi, che comandano l'app infetta, di accedere a Internet, leggere e mandare SMS, installare app, vedere e modificare i dati presenti sul telefonino, leggere la rubrica dei contatti, sorvegliare la posizione dell'utente, ascoltare e registrare le telefonate e le conversazioni, fare acquisti o transazioni bancarie fraudolente, e così via.

Il bello è che l'utente non si accorge di nulla se non installa un antivirus. Ma anche se lo installa, comunque non può rimuovere il malware dal telefonino, perché l'app infetta è una di quelle fissate nel firmware. Il telefonino, fondamentalmente, è da buttare.

Quali sono gli smartphone preinfettati in fabbrica? Secondo G Data, sicuramente lo Star N9500, lo Star N8000 e l'IceFox Razor, ma sono stati rilevati casi riguardanti marche come Huawei e Lenovo. Riporto qui testualmente l'elenco parziale dei telefonini preinfettati pubblicato da G Data: “Xiaomi MI3, Huawei G510, Lenovo S860, Alps A24, Alps 809T, Alps H9001, Alps 2206, Alps PrimuxZeta, Alps N3, Alps ZP100, Alps 709, Alps GQ2002, Alps N9389, Andorid P8, ConCorde SmartPhone6500, DJC touchtalk, ITOUCH, NoName S806i, SESONN N9500, SESONN P8, Xido X1111”. Ho chiesto a G Data, che mi ha confermato che Andorid P8 non è un errore di battitura.

Adesso quel telefonino di marca sconosciuta che avete comperato pensando di fare un affarone perché costava pochissimo magari non vi sembra più così tanto un acquisto furbo.