Dati a spasso: nomi, cognomi, telefoni, mail e codici fiscali di chi prenota servizi di comuni e ospedali italiani
10 de Março de 2023, 5:57Ultimo aggiornamento: 2023/03/10 9:50.
Dopo anni di GDPR e di tentativi di fare educazione alla protezione dei dati, succedono ancora cose come questa: sto ricevendo segnalazioni multiple di un sito italiano che raccoglie prenotazioni per servizi di comuni e di strutture ospedaliere e espone pubblicamente tutti i dati di chi lo usa.
I dati sono accessibili semplicemente usando un qualunque browser e visitando un indirizzo Web estremamente banale: non servono login, password o altro. Comodamente ripartiti per Comune o ente ospedaliero, si trovano nomi, cognomi, luoghi di nascita, date di nascita, codici fiscali, date e orari di prenotazione e relative motivazioni. Ci sono anche prenotazioni di “procedure sanzionatorie” di almeno una polizia municipale.
Per ovvie ragioni di responsible disclosure per ora non posso pubblicare il nome del sito, mostrare screenshot o citare testualmente i contenuti mandati a spasso. Posso solo dire che i servizi sanitari e comunali coinvolti sono decine, che i dati degli utenti messi in pubblico sono centinaia e che il sito è gestito da una Srl della zona di Torino.
Sarebbe assolutamente banale, per un truffatore o un vandalo, telefonare al signor Claudio che si è rivolto a questo sito per prenotare un servizio presso il Comune di Vittorio Veneto e dirgli che il suo appuntamento è stato annullato oppure che c’è una tassa da pagare anticipatamente. Il truffatore avrebbe tutti i dati necessari per sembrare estremamente credibile e quindi farsi pagare l’inesistente tassa tramite carta di credito. Anche i truffatori che usano la tecnica del “falso nipote” farebbero indigestione con questi dati. E posso solo immaginare i danni e i disagi che si potrebbero causare ad Alessia, per esempio telefonandole e dicendo che c’è un problema serio con il verbale di polizia numero 503*****/2022/R che la riguarda.
“Se vuoi informarti su come trattiamo i tuoi dati clicca qui”, dice il sito (ho cambiato alcune parole per evitare di facilitarne l’identificazione), linkando la propria privacy policy. Purtroppo so già benissimo come vengono trattati, e potrei descriverlo con parole forse poco tecniche ma sicuramente molto colorite e concise. Ma questo è un blog per famiglie e quindi mi trattengo.
Ho inviato immediatamente una PEC al DPO del sito, mettendo in copia il Garante per la Privacy italiano (protocollo(chiocciola)pec.gpdp.it), come suggerito qui e come indicato nella sua pagina dei contatti.
Oggetto: Dati personali pubblicamente accessibili
Buongiorno, sono un giornalista informatico collaboratore della Radiotelevisione Svizzera.
Mi arrivano segnalazioni multiple di dati sensibili di utenti che sono pubblicamente accessibili a chiunque con una semplice consultazione via Web sul sito [***omissis***]. Presumo quindi che la falla sia ormai nota e circolante.
URL: [***omissis***]
Allego campione in coda a questa mail.
Per qualunque chiarimento potete telefonarmi al mio numero diretto [***omissis***].
Cordiali saluti
Paolo Attivissimo
[***campione di dati omesso***]
La mia PEC di avviso è stata spedita oggi alle 16:56 italiane ed è stata regolarmente consegnata alla casella di destinazione del Garante; non ho conferme di consegna all’indirizzo mail del DPO, che è una casella di mail normale (non PEC).
Vediamo cosa succede. Intanto ringrazio le persone che mi hanno segnalato il problema. Se a qualcuno dovesse servire, la modulistica per reclami e segnalazioni presso il Garante italiano è qui; la relativa scheda informativa è invece qui.
---
2023/03/10 9:50. Ieri ho ricevuto dai gestori del sito una mail nella quale mi hanno comunicato di aver corretto la falla e di essersi attivati per la segnalazione del data breach al Garante e per tutte le comunicazioni opportune. In effetti a un primo controllo non sembrano esserci dati personali visibili.
Centomila messaggi WhatsApp a spasso: ma non c’era la crittografia end-to-end?
9 de Março de 2023, 10:00
Centinaia di milioni di persone nel mondo usano WhatsApp per comunicare ogni giorno, e molte di queste persone affidano a questa app confidenze e segreti contando sulla sua promessa di crittografia end-to-end: tutti i messaggi sono cifrati e non possono essere letti neppure dai dipendenti di Meta, la società che possiede WhatsApp.
È una promessa molto forte, dichiarata dall’avviso che compare nell’app ogni volta che si inizia una conversazione con un nuovo contatto: “I messaggi e le chiamate sono crittografati end-to-end. Nessuno al di fuori di questa chat, nemmeno WhatsApp, può leggerne o ascoltarne il contenuto.”
Ma allora come è possibile che oltre centomila messaggi WhatsApp privati siano stati resi estremamente pubblici in questi giorni? È quello che sta succedendo con i cosiddetti Lockdown files, una raccolta di messaggi WhatsApp risalenti al 2020 e 2021 e scambiati fra l’allora ministro della sanità britannico Matt Hancock e vari esponenti del governo del paese durante il lockdown legato alla pandemia.
Il giornale britannico Telegraph è entrato in possesso di tutti questi messaggi molto delicati e sta pubblicando man mano quelli più significativi, che rivelerebbero errori e manchevolezze della gestione governativa della crisi sanitaria.
Ma quello che conta, dal punto di vista informatico, è capire come il Telegraph sia riuscito a scavalcare la crittografia end-to-end di WhatsApp: un dettaglio che non sempre viene raccontato dalle fonti giornalistiche che stanno pubblicando articoli sulla vicenda britannica.
Hacking supersofisticato? Intervento degli esperti crittografi militari? Una falla nelle sicurezze di WhatsApp? Niente di tutto questo. La crittografia end-to-end, che si chiama così appunto perché protegge la comunicazione da un capo all’altro, è stata sbaragliata semplicemente ottenendo accesso a uno di questi capi.
Il ministro Hancock aveva infatti affidato alla giornalista Isabel Oakeshott l’incarico di aiutarlo a scrivere la propria autobiografia del periodo pandemico, e per questo lavoro le aveva dato pieno accesso a tutti i suoi messaggi WhatsApp. La giornalista aveva firmato un accordo di riservatezza, ma ora lo ha violato sostenendo che la pubblicazione di questi messaggi è di interesse pubblico. E così la crittografia non è servita a nulla.
Questo è un principio spesso dimenticato nella sicurezza delle informazioni: il segreto non è soltanto questione di tecnologia, ma dipende anche dai fattori umani. Se uno dei partecipanti a una conversazione digitale cifrata rivela tutto, non c’è promessa crittografica che tenga. E questo vale in particolar modo per i gruppi, su WhatsApp o su qualunque altra piattaforma di messaggistica cifrata: più sono numerosi i partecipanti, più è facile che uno di loro si lasci sfuggire qualcosa o decida di violare il segreto. E ne basta uno solo. Anche se non siete ministri, pensateci la prossima volta che condividete un commento o un selfie discutibile fidandovi della crittografia.
Fonti: Washington Post, Sky News, Channel 4, BBC.
Battiti binaurali a 15 anni dal grande panico
9 de Março de 2023, 9:37Ci sono molti video su YouTube che raccontano le virtù calmanti e in alcuni casi psichedeliche dei cosiddetti battiti o battimenti binaurali o binaural beats: dei particolari suoni, come quelli che potete ascoltare nel video qui sopra, composti da due toni leggermente differenti, che si combinano nel cervello creando un terzo suono che avrebbe questi effetti sull’umore e sulla percezione. Molti anni fa, nel 2008, ci fu addirittura un panico mediatico generale, arrivato anche qui da noi, sul presunto pericolo di i-Doser, una serie di cosiddetti “file droganti”, che all’epoca circolavano sotto forma di MP3 da scaricare.
Sono passati quindici anni e la tecnologia è cambiata: oggi non si scaricano più gli MP3 ma i battiti binaurali si ascoltano in streaming, come avviene appunto su YouTube o Spotify cercando frasi come “binaural beats”, oppure tramite apposite app, fra le quali ce n’è una che si chiama appunto iDoser in ricordo dei vecchi tempi. È cambiato anche il modo in cui vengono presentati questi suoni: non più temibili droghe digitali, ma sonorità curative, per facilitare la concentrazione, lo studio, il lavoro e il sonno, per alleviare i dolori, e anche per migliorare le prestazioni sessuali.
Ma funzionano davvero? Il fenomeno della percezione di un terzo suono illusorio nei battiti binaurali è indubbiamente reale. Fu scoperto nel 1839 dal meteorologo prussiano Heinrich Wilhelm Dove e fu esplorato a partire dagli anni Settanta del secolo scorso con strumenti elettronici. In sintesi, si tratta di far sentire un suono a una specifica frequenza a un orecchio e un altro suono a una frequenza leggermente differente all’altro orecchio. Il cervello crea una sorta di illusione acustica, ossia un terzo suono la cui frequenza è la differenza delle frequenze dei primi due suoni.
Secondo gli utenti entusiasti dei battiti binaurali, se si regola opportunamente la differenza di frequenza dei due suoni reali si otterrebbe un terzo suono che sarebbe in sintonia con la frequenza dominante del cervello, che varia da persona a persona e a seconda delle attività in corso, e sarebbe addirittura possibile modificare questa frequenza cerebrale.
A giudicare dai commenti online, alcune persone trovano indubbiamente piacevoli e addirittura benefici questi suoni. Ma ancora oggi non ci sono prove robuste di una loro reale efficacia generale: tutto indica che i benefici descritti da chi li usa siano dovuti in gran parte a un effetto placebo, anche perché molti segnalano questi benefici in condizioni nelle quali i battiti binaurali non possono agire.
I due suoni di questi battiti, infatti, devono raggiungere il cervello separatamente, uno tramite l’orecchio destro e uno tramite quello sinistro, e quindi vanno ascoltati in cuffia, altrimenti il cervello non può generare il terzo suono. Chi dichiara di avere effetti positivi dai binaural beats ascoltandoli attraverso un altoparlante singolo, magari quello del telefonino, sta dimostrando semplicemente il potere, estremamente reale, dell’autosuggestione.
Fonti aggiuntive: Wikipedia, Gizmodo, Wikipedia, Discover Magazine.
Perché c’è una fotocamera negli scanner dei supermercati?
9 de Março de 2023, 9:27La deformazione professionale è una brutta cosa. Se sei un informatico patologico, vai a fare la spesa al supermercato e invece di pensare alle cose da comperare ti cade l’occhio sullo scanner manuale che usi per scansionare i prodotti e metterli direttamente nei sacchetti già in ordine per il pagamento rapido in cassa; pensi a come quello scanner comunica via Wi-Fi con il sistema informatico del supermercato, a come gestisce il database dei prodotti tenendo conto degli sconti e delle offerte “tre per due”; e soprattutto noti una cosa strana: lo scanner ha una minuscola fotocamera appena al di sopra dello schermo.
È quello che mi è successo andando a fare la spesa con lo scanner manuale in un supermercato della catena Coop, qui in Svizzera. E ovviamente mi sono chiesto subito perché uno scanner del genere avesse una fotocamera rivolta quasi sempre verso il soffitto o il volto dell’utente.
Se siete in un supermercato mentre ascoltate questo podcast, o la prossima volta che ci andate, provate a guardare se gli scanner manuali, quelli che sembrano un po’ pistole laser da film di fantascienza, hanno una fotocamera: è una finestrella circolare, quasi invisibile sul nero della cornice intorno allo schermo, e al centro c’è una piccolissima lente.
Non vi preoccupate: se state pensando che la fotocamera vi osservi mentre fate la spesa, magari per giudicare il vostro gradimento dei prodotti, i vostri comportamenti di acquisto o peggio ancora per controllare che siete onesti e davvero scansionate tutti i prodotti che mettete nei sacchetti, siete fuori strada. La realtà è diversa e decisamente inaspettata.
Ho chiesto informazioni direttamente all’ufficio stampa di Coop, visto che la dettagliata pagina Web informativa sulla protezione dei dati di questo gruppo non menziona questi scanner manuali, e la sua risposta è stata molto chiara e ampia: “La fotocamera di cui sono dotati gli scanner portatili di Coop non viene utilizzata e non ne è previsto l'uso per il futuro.”
Quindi questi scanner hanno davvero una fotocamera; la mia impressione era corretta. E con tutta probabilità questa fotocamera fa parte delle dotazioni standard di questo modello di scanner e quindi è presente anche negli esemplari forniti alle aziende che non la usano. Ma quelle che invece la usano, cosa ne fanno?
Per trovare la risposta bisogna identificare la specifica marca e il modello dello scanner. Nel mio caso la marca si chiama Zebra Technologies Corporation, con sede a Holtsville, negli Stati Uniti, come indicato sulla targhetta identificativa del dispositivo, e il modello è indicato dal cosiddetto part number, abbreviato in P/N sulla stessa targhetta, ed è PS20.
Grazie a @mfp, che segue Il Disinformatico su Mastodon, sono emerse le specifiche tecniche di questo scanner e anche il suo manuale in italiano.
Queste specifiche indicano che si tratta di una telecamera da 5 megapixel, tutt’altro che modesta come prestazioni, e rivelano finalmente a cosa serve nei paesi nei quali viene utilizzata: fa riconoscimento di immagini, allo scopo di offrire al supermercato un servizio di identificazione delle persone oppure di cosiddetto locationing VLC. In altre parole, se attivata può identificare il cliente e anche localizzarlo all’interno del punto di vendita.
“Con la fotocamera anteriore, il dispositivo supporta le applicazioni di posizionamento/localizzazione indoor VLC (Visible Light Communications). Inoltre, la fotocamera viene utilizzata per il riconoscimento di immagini e volti” (manuale italiano, pagina 5)
“Enable image recognition through a wide variety of image-based 3rd party applications. Cost-effectively implement the latest locationing technology, VLC, which leverages your existing LED lighting infrastructure to track customers and workers.” (specifiche tecniche in inglese)
L’identificazione delle persone è abbastanza intuitiva da capire: se il
software di riconoscimento delle immagini si accorge che è inquadrato un
volto, può acquisirne una foto o un video. Ma il locationing
VLC richiede un po’ di spiegazione. È una tecnica ingegnosa sviluppata
dalla Philips e
usata in alcuni supermercati francesi e tedeschi: ciascuna delle lampade a LED che illuminano il punto di vendita sfarfalla
in modo unico, a velocità troppo elevata per essere percepita dall’occhio
umano, trasmettendo così un codice che viene ricevuto dalla fotocamera dello scanner. In base a
quali codici riceve, lo scanner sa esattamente dove si trova in ogni momento,
con una precisione di circa
30 centimetri, senza dover installare trasmettitori radio appositi.
Ci sono anche delle app per smartphone, come per esempio LightKey, Kiwink o LiPHY, che possono ricevere e trasmettere segnali attraverso questi lampeggiamenti luminosi impercettibili.
L’ufficio stampa di Coop mi ha precisato anche che il suo scanner non utilizza queste funzioni, e io per ulteriore verifica ho provato a fare la spesa coprendo la fotocamera. Non ci sono stati errori, allarmi o malfunzionamenti.
Fonti aggiuntive: Mapsted.com; Optica.org; Favendo.com.
Nuovo trailer del film russo girato (in parte) a bordo della Stazione Spaziale Internazionale
8 de Março de 2023, 7:35Con tutte le cautele e i distinguo che ho già scritto in occasione della pubblicazione del primo trailer del film russo Vyzov (Вызов), ossia Sfida, che è stato girato in parte a bordo della Stazione Spaziale Internazionale, segnalo l’uscita di un suo secondo trailer, che potete vedere qui sopra.
La descrizione in russo su YouTube annuncia che il film uscirà il prossimo 20 aprile, non il 12 come annunciato inizialmente. Il trailer non è sottotitolato, ma usando il riconoscimento vocale di YouTube e Google Translate viene fuori grosso modo che un cosmonauta russo si è ferito durante una EVA e morirebbe durante il rientro se non venisse operato a bordo; vari chirurghi si offrono di andare nello spazio per effettuare l’operazione. Viene scelta E. Belyaeva (l’attrice Julia Peresild).
Nei dialoghi spicca un “lo spazio non è per le donne”, ma dal poco contesto non è chiaro se sia sarcastico o intenzionalmente sessista; nelle immagini, a differenza del primo trailer, si vede che alcune riprese sono state effettuate nella sezione non russa della Stazione (in particolare nella Cupola).
Ci sono anche dei video della realizzazione:
Nel video qui sotto vengono mostrati parecchi dettagli piuttosto rari della parte russa della Stazione, delle procedure di bordo e dell’addestramento al quale si sono sottoposti l’attrice-cosmonauta, i cosmonauti che si sono improvvisati attori e il regista-cosmonauta Kim Shipenko. Due chicche: Peresild racconta che si è rifatta il trucco prima di arrivare a bordo e si è lavata i capelli alla maniera tradizionale, consumando moltissima acqua invece dello shampoo senza risciacquo usato da astronauti e cosmonauti, e questo ha quasi intasato il sistema di riciclaggio dell’acqua della sezione russa. Le esigenze di scena sono scarsamente compatibili con la realtà delle attività spaziali.
Il film è chiaramente un’operazione di propaganda per un regime che sta commettendo atrocità in Ucraina, e questo purtroppo getta una luce sinistra sull’indubbia bellezza dell’attrice e sull’intera impresa cinematografica che in altri momenti sarebbe stata una splendida celebrazione della collaborazione internazionale e dell’avventura spaziale.
