Se attivi l’autenticazione a due fattori, Fortnite ti premia con una danza
septiembre 7, 2018 3:57
In sintesi, con l’autenticazione a due fattori chi vi vuole rubare il profilo Instagram o un account di mail deve avere non solo la vostra password ma anche un codice temporaneo che arriva sul vostro telefonino. Questo rende molto più difficile rubare gli account.
Ma per troppi utenti la sicurezza è una scocciatura, fino al momento in cui si trovano con l’account rubato.
La paura, però, non è convincente, e così Fortnite, il popolarissimo gioco online, sta provando un approccio decisamente differente: regala un premio a chi attiva l’autenticazione a due fattori.
Gli account del gioco, infatti, vengono rubati spesso (ci sono di mezzo dei soldi) e quindi la Epic Games regala una emote (una danza come quella mostrata qui sopra) gratuita. Chi non gioca a Fortnite farà fatica a comprendere il valore di una danza animata, ma queste mosse sono ricercatissime dai giocatori.
Per attivare l’autenticazione a due fattori in Fortnite basta andare a Epicgames.com/2FA e seguire le istruzioni: nel vostro account, scegliete la sezione Password e sicurezza, e poi scegliete se attivare un’app di autenticazione (per esempio Google Authenticator, LastPass, Microsoft Authenticator o Authy) oppure ricevere un codice di autenticazione via mail.
Lo so, lo so, molti dei giocatori più giovani staranno già chiedendo “Mail? Cos’è?”: è come WhatsApp, solo che non devi regalare tutti i tuoi dati personali e l’elenco dei tuoi amici a un’azienda che poi li sfrutta.
L’autenticazione a due fattori va impostata una sola volta: da quel momento in poi, il dispositivo sul quale l’avete attivata entrerà automaticamente in Fortnite senza ulteriori complicazioni.
Ma che succede se vi rubano il telefonino o lo perdete? Niente panico. Quando si imposta l’autenticazione a due fattori si riceve anche una serie di codici di backup, da usare in emergenza. Salvateli (non sul telefonino!) o stampateli e teneteli in un posto sicuro.
Sottoscrivo il consiglio finale della Epic Games: ricordate che nessun dipendente della Epic vi chiederà mai la vostra password, per cui se ricevete messaggi di gente che dice di essere dipendente dell’azienda e vi chiede la password “per motivi di sicurezza”, sono impostori.
Ricattatori sanno il vostro numero di telefono e dicono di aver registrato un video privato
septiembre 7, 2018 3:11Sta circolando una nuova variante della truffa “so qualcosa di te, ti ricatto facendoti credere che so molto di più”. Mentre la versione precedente si rendeva credibile citando una password effettivamente usata anni prima dalla vittima, questa usa un trucco decisamente più scadente: il numero di telefono.
**
$$$Last digits 1390 is your phone***
$$$$You installed malware plugin$$$$
##I backuped all contact**
@@@@I recorded private video with the phone$$$$
@Have Questions?****
$$$$$Answer to mail$$
***And we doing trade for silent****
@@@@@Time started. 48 hour@@@@
##
In pratica gli aspiranti ricattatori dicono di sapere il vostro numero di telefono, lo dimostrano indicandone le ultime quattro cifre, e poi dicono di aver installato sul vostro dispositivo un malware che ha copiato tutti i contatti e registrato i video privati che avete fatto con il telefonino. Per non divulgarle vogliono soldi entro 48 ore.
Prima di tutto, non è un attacco personale. I truffatori si sono semplicemente procurati elenchi di numeri telefonici abbinati a indirizzi di mail (non è difficile), ma non vuol dire affatto che abbiano infettato il vostro telefonino o che abbiano un vostro video privato. Ma chi fa video privati si sente preso di mira e vulnerabile e abbocca all’inganno.
Se ricevete un messaggio di questo genere (grazie silvia per avermelo segnalato), cancellatelo tranquillamente, e cogliete l’occasione per controllare comunque la sicurezza dei vostri account:
- Avete scritto le loro password in un posto sicuro? No, le Note del telefonino non sono un posto sicuro.
- Avete attivato l’autenticazione a due fattori, così anche se qualcuno scopre la vostra password non riuscirà lo stesso a rubarvi l’account?
- Avete usato password differenti per ciascun account, così se scoprono la password di un account non sanno automaticamente quella degli altri?
Migliaia di documenti d’identità liberamente scaricabili online nei “bucket” non protetti
septiembre 6, 2018 22:50Si fa un gran parlare di protezione dei dati digitali, GDPR (regolamento generale sulla protezione dei dati) e relative sanzioni, per cui sembra ragionevole pensare che le aziende siano ben attente nel gestire i dati dei clienti. Il GDPR, in particolare, prevede sanzioni talmente pesanti in caso di fuga di dati sensibili che parrebbe ovvio e inevitabile investire in misure di sicurezza.
È di ieri la notizia della fuga di dati del database di Rousseu, la piattaforma del Movimento 5 Stelle, già protagonista di una precedente fuga: trovate i dettagli su DavidPuente.it e in questo articolo di Martina Pennisi sul Corriere della Sera online. Ma non è certo un caso isolato.
In queste settimane ho seguito un tipo molto specifico di fughe di dati: quelle tramite i bucket di Amazon. I bucket sono degli spazi a noleggio per la custodia dei dati. In pratica, un’azienda, invece di investire in un proprio server nel quale depositare i propri dati, può affittare spazio sui server di Amazon e mettere lì i dati. Amazon garantisce spazio e traffico a volontà: basta pagare.
Il grosso vantaggio è la flessibilità: una piccola azienda può espandersi in fretta senza dover aspettare di comperare dei propri server aggiuntivi, affittando invece spazio su Amazon. Due clic e lo spazio raddoppia, triplica, si decuplica. Quando non serve più si abbandona.
Il problema è che se il bucket non viene configurato correttamente, i dati sono accessibili a chiunque, perché hanno un link pubblico. E non è difficile scovarli. Questo è un esempio di un bucket lasciato aperto, riguardante un’azienda russa:
Basta cliccare su uno qualsiasi dei link e compaiono scansioni di passaporti come questa (ho mascherato io i dati in tutte le immagini seguenti):
In un altro bucket ci sono dati sanitari italiani:
Altrove ci sono backup di database, tessere sanitarie, password, tabelle di contabilità, documenti di tribunali:
Estratti conto di una banca messicana:
La cosa curiosa è che alcuni bucket sono già stati visitati da qualcuno che ha lasciato un cortese avviso:
Hello,
This is a friendly warning that your Amazon AWS S3 bucket settings are wrong.
Anyone can write to this bucket.
Please fix this before a bad guy finds it.
Insomma, il problema è piuttosto diffuso e largamente ignorato.
Magari vi state chiedendo quali tipi di reato si possano compiere realisticamente con una scansione di un documento d’identità. Non voglio regalare spunti criminogeni a nessuno, per cui mi limito a un solo esempio già divulgato: ricordate la truffa “Questa è la tua password, sappiamo che hai visitato siti porno, ti abbiamo registrato, ora paga altrimenti diffonderemo il video”? Ne avevo parlato a luglio scorso.
Immaginate quanto diventa più credibile questa truffa se il suo messaggio dichiara di provenire dalla polizia e include i vostri dati anagrafici, il vostro numero di telefono e il numero di un vostro documento e vi intima di pagare una multa per evitare conseguenze più gravi.
Cosa si fa quando ci si imbatte in casi come questi? La soluzione più diretta sembrerebbe essere quella di contattare le aziende responsabili, ma ve lo sconsiglio: quando lo faccio io, pur qualificandomi come giornalista e informatico, la maggior parte delle volte non vengo creduto.
La cosa più efficace è segnalare dettagliatamente il tutto alle autorità apposite: per esempio, in Svizzera ci sono l’apposita pagina dell’Ufficio Federale di Polizia e quella di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione); in Italia ci si rivolge al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Che è quello che ho fatto io per questi casi. Speriamo in bene.
Mini-falla nella Stazione Spaziale è un foro di trapano, non un impatto dall’esterno
septiembre 6, 2018 7:47
La falla nel modulo orbitale di una delle navicelle russe Soyuz attualmente attraccate alla Stazione Spaziale Internazionale, che ho raccontato qui e qui nei giorni scorsi, non è stata prodotta da un impatto dall’esterno ma è un foro di trapano, fatto non si sa da chi.
L’agenzia di notizie russa TASS ha pubblicato il 3 settembre scorso un articolo in cui cita in proposito Dmitry Rogozin, CEO dell’agenzia spaziale russa Roscosmos, che ha dichiarato che la “frattura” nella Soyuz è stata causata da un “errore tecnologico”.
Rogozin ha aggiunto: “Stiamo considerando tutte le teorie. Quella riguardante un impatto meteorico è stata scartata perché lo scafo del veicolo spaziale è stato chiaramente colpito dall’interno. Tuttavia è troppo presto per dire con certezza cosa è succcesso. Ma sembra opera di una mano instabile... è un errore tecnologico di uno specialista. È stato fatto da mano umana -- ci sono tracce di un trapano che scivola sulla superficie. Non respingiamo nessuna teoria. È questione d’onore per la società Energia trovare l’individuo responsabile, scoprire se si è trattato di un difetto accidentale o di un danno intenzionale e scoprire dove è stato prodotto -- sulla Terra o nello spazio. Ora è essenziale vedere la ragione, conoscere il nome dell’individuo responsable. E lo scopriremo, senza dubbio.”
Altre notizie sull’argomento sono su Ria.ru e Topwar.ru (in russo). Secondo SpaceflightNow, che cita RIA Novosti che cita una fonte anonima, la persona responsabile del danno sarebbe già stata identificata.
Secondo Ars Technica, che cita Gazeta.ru, non sarebbe la prima volta che incidenti di questo genere avvengono presso Energia, la società russa che costruisce le Soyuz. Un ex ispettore dell’azienda dice di aver trovato un foro passante nello scafo di un modulo di rientro, che non era stato segnalato a nessuno ma semplicemente tappato con del materiale epossidico. Il foro fu trovato dopo il rientro sulla Terra; il tecnico che aveva fatto la riparazione fu licenziato.
La riparazione della falla effettuata inizialmente dai cosmonauti sembra tenere egregiamente, anche se secondo il rapporto quotidiano della NASA del 31 agosto erano state svolte attività supplementari per sigillare un piccolo percorso di perdita residuo.
La NASA si è limitata a dichiarare che darà supporto alla commissione d’indagine russa, che prevede di terminare i propri lavori a metà settembre, secondo The Verge.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Alex Jones, il complottismo e i boicottaggi spiegati da Xkcd
septiembre 4, 2018 12:48Avrei voluto scrivere un articolo per spiegare tutta la vicenda della chiusura, da parte dei principali social network, degli account di Alex Jones, complottista tanto caro a Donald Trump. Jones lamenta di essere vittima di un complotto (ovviamente, altrimenti che complottista sarebbe) per zittirlo, ma la sua tesi è una fesseria (ovviamente, altrimenti che complottista sarebbe).
Ma il tempo rema contro di me e quindi mi limito a cogliere, finalmente, l’occasione per pubblicare e tradurre questa vignetta ormai classica del sempre saggio Xkcd:
Comunicazione di pubblico servizio: il diritto alla libertà di parola significa che il governo non ti può arrestare per quello che dici. Non significa che chiunque altro debba ascoltare le tue stronzate oppure ospitarle mentre le condividi.
Il primo emendamento [della Costituzione USA] non ti protegge dalle critiche o dalle conseguenze.
Se ti urlano contro, se ti boicottano, se ti cancellano il tuo programma, o se vieni bandito da una comunità su Internet, i tuoi diritti di libertà di parola non stanno subendo una violazione.
Semplicemente, la gente che ti ascolta pensa che tu sia uno stronzo, e ti sta mettendo alla porta.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
