Blog di "Il Disinformatico"

Che fine fanno i nostri dati quando cancelliamo un account social?

March 15, 2019 7:28, von Il Disinformatico

Da un lettore del Disinformatico, Marco P., arriva una domanda che penso possa incuriosire molti: che fine fanno i nostri dati dopo la cancellazione di un account da un social network? Le nostre informazioni e i nostri metadati rimangono sui server di Facebook, Instagram o Twitter a tempo indeterminato anche dopo l'eliminazione di un account o vengono davvero cancellate senza lasciarne traccia?

Dice Marco: “Chiedo ciò perché dopo i vari scandali che hanno riguardato Facebook negli ultimi anni avevo pensato di cancellare il mio profilo, ma mi chiedo se abbia senso farlo se poi di fatto trattengono i dati degli utenti e considerando che creano persino profili fantasma di gente che non è nemmeno iscritta. Qual è il tuo consiglio?”

In teoria Facebook, come qualunque custode dei nostri dati, è tenuto a cancellarli quando non ne ha più bisogno per gestire i nostri account. Tuttavia la garanzia che i dati spariscano davvero non è assoluta, perché un errore tecnico nella cancellazione può sempre capitare, specialmente in un social network che ha avuto uno sviluppo caotico come Facebook. Ma il problema principale è che i nostri dati social esistono anche altrove: per esempio sui dispositivi degli utenti con i quali li abbiamo condivisi.

C’è anche un altro modo in cui i nostri dati social possono persistere dopo la richiesta di cancellazione: gli scraper. Si tratta di organizzazioni con vari livelli di legalità che usano programmi automatic per raccattare in massa i dati pubblicati dagli utenti nei social network e poi usarli per analisi di mercato oppure per estrarre indirizzi di mail, foto, elenchi di amici o altri dati da sfruttare per attacchi informatici.

Nonostante tutto questo, suggerirei comunque di cancellare: male non fa, e perlomeno riduce l’esposizione di contenuti sfruttabili.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Panico da blackout social

March 15, 2019 6:38, von Il Disinformatico

Facebook piange e Telegram ride. Per circa 14 ore Facebook è rimasto inaccessibile in buona parte del mondo. È stato il blackout più lungo nella storia di questo social network. Ora tutto è tornato a posto, ma non si sa cosa sia successo.

Facebook dice (BBC) che si è trattato di un “cambiamento di configurazione di server” che ha “innescato una serie di problemi in cascata” che hanno toccato anche WhatsApp e Instagram. Non c’è stato nessun attacco informatico, secondo l’azienda.

Per contro, Telegram, rivale di WhatsApp, ha aggiunto tre milioni di nuovi utenti nel giro di ventiquattro ore, festeggiando pubblicamente questo incremento. Il distacco fra Telegram e WhatsApp resta comunque grande: i 200 milioni di utenti dell’app di messaggistica di Pavel Durov sembrano tanti finché si considera che WhatsApp ne ha circa un miliardo e mezzo. Tuttavia l’improvviso balzo indica che molti utenti sono prontissimi a cambiare social network e a portare con sé i propri amici, con un probabile effetto valanga.

Anche gli inserzionisti non sono contenti del blackout, perché hanno pagato Facebook per le proprie campagne pubblicitarie ma nessuno le vede. La sospensione del servizio sarebbe costata alle aziende di Zuckerberg circa 90 milioni di dollari di ricavi mancati. La BBC segnala intanto che Facebook ha perso circa 15 milioni di utenti negli Stati Uniti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Come mandare un SMS dalla Casa Bianca e altre truffe telefoniche

March 14, 2019 7:54, von Il Disinformatico

Ieri, durante la trasmissione Filo Diretto della Radiotelevisione Svizzera, ho inviato in diretta al conduttore, Enea Zuber, un SMS facendo in modo che il numero del mittente, sul suo telefonino, fosse quello della Casa Bianca (+1(202) 456-1414), con il seguente testo:

Hi Enea, it's Donald here. When are you coming to see me here at the White House for a good hamburger? Bring Charlie as well!

Ovviamente si tratta di un classico spoofing del numero del mittente, effettuato tramite uno dei tanti servizi disponibili online, e in questo esempio volutamente innocuo l’inganno è molto evidente. Ma se il numero di telefonino che ho simulato fosse stato quello di un amico o familiare di Enea presente nella sua rubrica telefonica, sul telefonino del conduttore sarebbe apparso anche il nome di quell’amico o familiare.

Questo rende estremamente credibile una truffa in cui per esempio il truffatore manda alla vittima un SMS spacciandosi per un familiare che è in viaggio all’estero (informazione facile da trovare grazie ai social network) e dice di essere stato derubato di tutto e di non poter pagare l’albergo, per cui ha bisogno che la vittima gli mandi subito dei soldi tramite Western Union. Le coordinate per il trasferimento di denaro sono nell’SMS e sono ovviamente quelle del conto Western Union del truffatore.

Un altro esempio: il truffatore manda un SMS imitando il numero di telefono della banca della vittima, informandola che c’è un grave problema sul suo conto, che risulta vuoto e chiedendo di richiamare l’assistenza clienti al numero indicato nel messaggio. Il numero è ovviamente quello del truffatore, che chiede alla vittima le coordinate del conto e i codici di accesso dicendo che gli servono per una verifica, e il gioco è fatto.

Se le restrizioni regionali ve lo consentono, potete vedere l’esperimento qui (da 4.21 in poi) oppure (senza restrizioni) qui, insieme a molti consigli su come difendersi dalle truffe telefoniche della giurista Katia Schober-Foletti e del giornalista Francesco Lepori.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

E-voting svizzero ha problemi di affidabilità: l’analisi tecnica in breve

March 13, 2019 18:42, von Il Disinformatico

Secondo la ricerca pubblicata poco fa da Sarah Jamie Lewis, Olivier Pereira e Vanessa Teague (OpenPrivacy, UCLouvain e University of Melbourne), il sistema di voto elettronico svizzero proposto da SwissPost e oggetto di un test pubblico di sicurezza ha delle falle notevoli.

Sarebbe infatti possibile creare una “manipolazione dei voti non rilevabile”: “nel sistema SwissPost, i voti elettronici cifrati devono essere rimescolati per proteggere la riservatezza del singolo voto. Ogni server che rimescola i voti dovrebbe dimostrare che l’insieme di voti in ingresso che ha ricevuto corrisponde esattamente ai voti diversamente cifrati in uscita. Questo ha lo scopo di fornire un equivalente elettronico dell’uso pubblicamente osservabile di un’urna fisica o teca trasparente”.

I ricercatori forniscono “due esempi di come un’autorità che implementasse o amministrasse un server di rimescolamento potrebbe produrre una trascrizione che viene verificata perfettamente mentre in realtà i voti vengono manipolati.”

Aggiungono inoltre che nella loro analisi “nulla suggerisce che questo problema sia stato introdotto intenzionalmente. È totalmente compatibile con un’implementazione ingenua di un protocollo crittografico complesso da parte di persone con buone intenzioni che non hanno una piena comprensione dei suoi assunti di sicurezza e di altri dettagli importanti.”

In questo flusso di tweet, Sarah Jamie Lewis osserva che SwissPost ha dichiarato che si tratta effettivamente di un difetto e che lo si sapeva sin dal 2017, ma che Scytl (società partner del progetto) non l’aveva corretto. Ora SwissPost ha annunciato la correzione.

Si potrebbe dire che lo scopo del test pubblico del sistema di voto elettronico sia stato parzialmente raggiunto: evidenziare eventuali lacune prima che venga utilizzato. Ma è importante sottolineare che è stato raggiunto grazie al fatto che questi ricercatori non hanno rispettato i paletti inaccettabili di riservatezza proposti dal test, che richiedevano ai partecipanti al test di sottoscrivere un accordo di non pubblicazione salvo approvazione da parte di SwissPost.

La domanda, a questo punto, è come mai questi difetti del software di voto sono stati scoperti e corretti soltanto oggi, dopo anni, e da tre ricercatori esterni che si sono chinati per qualche giorni sulla questione, invece di essere rivelati dalle ripetute verifiche interne di SwissPost e Scytl. E soprattutto quanti altri errori attendono di essere scoperti.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Puntata del Disinformatico RSI del 2019/03/08

March 12, 2019 14:44, von Il Disinformatico

È disponibile lo streaming audio e video della puntata dell’8 marzo del Disinformatico della Radiotelevisione Svizzera.

La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) oppure qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 55 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto.

Buona visione e buon ascolto!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.