RSS

Archivi tag: dati personali

WhatsApp, 500 milioni di contatti in vendita

01 Dic

I numeri telefonici di quasi 500 milioni di utenti WhatsApp sono in vendita su Internet, oltre 35 milioni di questi contatti sono di utenti italiani. La notizia è stata diffusa da Cybernews che spiega come, un paio di settimane fa, in un forum sia comparso l’annuncio della messa in vendita di un database datato 2022 con 487 milioni di numeri telefonici ottenuti dalla piattaforma di messaggistica.

Questa notizia finora è stata pubblicata solo da siti di informazione di settore, ma merita di guadagnare la più ampia diffusione, dal momento che tutti quei numeri telefonici ora sono potenziali bersagli di chiamate e messaggi che possono arrivare da ogni tipo di mittente o malintenzionato, che può inviare di tutto: pubblicità (anche ingannevole), minacce informatiche (e non solo), truffe, frodi e ogni altro tipo di comunicazione indesiderata e dannosa.

Il numero di utenti interessati è decisamente considerevole ed è una bella fetta degli oltre 2 miliardi di utenti che utilizzano WhatsApp in tutto il mondo. Se in quel database si trovano i contatti di 35 milioni di italiani significa che, se siete iscritti a WhatsApp, molto probabilmente c’è anche il vostro numero.

Quindi, in tema di attenzione allo spam, non limitatevi ad essere attenti ai messaggi che ricevete via email, ma verificate ciò che vi arriva anche da SMS, WhatsApp e ogni altro tipo di comunicazione che possa raggiungervi tramite il vostro numero telefonico. Anche un banale messaggino che vi aggiorna su una spedizione in arrivo potrebbe nascondere una trappola, basta un link su cui cliccare. E se avete condiviso il vostro numero telefonico sui vostri profili social (Facebook, Instagram, Twitter, eccetera), sappiate che è un gioco da ragazzi arrivare alla vostra identità, alle vostre foto e a tutte le informazioni personali che avete pubblicato, partendo semplicemente da un numero di cellulare trovato in Internet.

Come è stata ottenuta questa lista di contatti? Il venditore non lo ha rivelato, limitandosi a dire di aver usato una propria strategia (grazie, chi l’avrebbe detto?). L’ipotesi è che alla base ci sia un’attività di scraping, cioè di estrazione di informazioni dal web con l’utilizzo di bot dai motori di ricerca, non consentita dai termini di servizio di WhatsApp. Ma da quando le regole fermano i malintenzionati?

 
Lascia un commento

Pubblicato da su 1 dicembre 2022 in news, privacy, security

 

Tag: , , , , , , , , , , ,

Ho. mobile, confermato il furto di dati personali

04 Gen

Ho. mobile, operatore del gruppo Vodafone, ha confermato di essere rimasto vittima di un attacco che ha portato la sottrazione dei dati personali “di parte degli utenti”, come è stato anticipato la scorsa settimana.

Il comunicato, da un lato, cerca di tranquillizzare la clientela:

L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Ma la conferma del tipo di dato sottratto all’azienda è nella risposta alla prima delle successive domande frequenti:

Quali dati sono stati sottratti?

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento ai soli dati anagrafici (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e tecnici della SIM. NON sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

Come detto la scorsa settimana, è proprio con questi “soli dati anagrafici (…) e tecnici della SIM” che è possibile effettuare un’operazione di “sim swap”, che sostanzialmente permette di trasferire l’utenza su un’altra sim, quindi di clonarla… e questo non è meno preoccupante! Se ad esempio un utente avesse indicato quel numero telefonico come riferimento per ricevere OTP (One Time Password) per la conferma di pagamenti via bonifico o tramite carta di credito, un’eventuale clonazione della sua utenza consentirebbe ad altri di confermare transazioni a proprio beneficio. Prospettiva tutt’altro che rassicurante…

L’azienda comunque assicura che gli utenti i cui dati sono stati effettivamente copiati riceveranno una comunicazione personale con le indicazioni da seguire (simile a quella qui riportata). Ai clienti viene offerta inoltre la possibilità di chiedere gratuitamente la sostituzione della sim, che può essere effettuata solamente di persona presso un rivenditore autorizzato (la procedura prevede il riconoscimento fisico del cliente).

 
1 Commento

Pubblicato da su 4 gennaio 2021 in news

 

Tag: , , , , , , , , , , , ,

Ho. mobile, violati i dati personali degli utenti?

29 Dic

Se siete clienti di ho. Mobile (l’operatore di telefonia mobile low cost di Vodafone) questa notizia potrebbe interessarvi: ieri sera su Twitter è comparsa la notizia di un attacco hacker ai suoi danni dell’azienda, che avrebbe ottenuto un database con i dati anagrafici di 2,5 milioni di utenti, il cui contenuto sarebbe in vendita sul dark web. Cosa contiene questo archivio? Per ogni cliente ci sarebbe nome, cognome, codice fiscale, data di nascita, numero di telefono, email, indirizzo di residenza completo e codice ICCID della scheda telefonica.

Con questi dati un hacker può fare un’operazione che si chiama “sim swap” (trasferire l’utenza su un’altra sim, quindi sostanzialmente clonarla). Per andare al sodo, ecco i rischi possibili e le contromisure:

  • se un giorno perdete il segnale e non capite il perché: ve l’hanno clonata, rivolgetevi a un punto vendita/centro assistenza e chiedete il “cambio carta” (vi daranno una nuova sim legata al vostro numero telefonico);
  • se usate quel numero di telefono per l’autenticazione a due fattori su qualche servizio (ad esempio: conferma disposizioni da internet banking con OTP, ossia un codice temporaneo inviato da sms), comunicate alla banca un numero telefonico diverso.

Vedremo se l’azienda confermerà l’attacco e il data breach. Se ci saranno aggiornamenti, saranno integrati in questo post 😉

AGGIORNAMENTO: breach confermato, come da comunicazione pubblicata in homepage sul sito dell’azienda all’indirizzo https://www.ho-mobile.it/comunicazione/

Ne parlo in questo post: https://blog.dariobonacina.net/2021/01/04/ho-mobile-confermato-il-furto-di-dati-personali/

 
1 Commento

Pubblicato da su 29 dicembre 2020 in news

 

Tag: , , , , , , , , , , , ,

Due o tre cose che Google sa dei suoi utenti

24 Mag

Quando avete un account Google e pensate di non avere nulla da nascondere, probabilmente non vi preoccupate di ciò che un’azienda di quel calibro può conoscere sul vostro conto. Tuttavia esiste più di un motivo per capire che, quantomeno, dovreste comunque esserne pienamente consapevoli.

Piccolo (e non esaustivo) elenco di ciò che viene registrato solo perché avete un account Google:

OK facciamo un esempio sul secondo punto, dove è possibile trovare qualcosa del genere:

Anche se avete dettato qualcosa a WhatsApp – app molto diffusa e amata – e sebbene quella app possa apparire estranea al mondo Google (perché parte della galassia Facebook, insieme a Instagram), in realtà tutto viene memorizzato. Con “tutto” non intendo solo la trascrizione, e quel “Riproduci” che vedete ne è la prova: vi permette di sentire la registrazione di ciò che avete detto e se cliccate su dettagli scoprite perché…

Quindi, se queste informazioni non vi scompongono, va bene così. Se foste invece infastiditi da questa costante registrazione… andate in Gestione attività (https://myaccount.google.com/activitycontrols) e disattivate tutti gli “interruttori”!

Diciamo che, in un mondo in cui non è raro apprendere notizie su violazioni di account, furto di password, vulnerabilità che permettono l’accesso non autorizzato ai dati personali di un account e altre criticità analoghe, forse tutta questa attività di acquisizione dati andrebbe tenuta presente, ecco.

 
1 Commento

Pubblicato da su 24 Maggio 2019 in news

 

Tag: , , , , , , , , ,

Google Plus, chiuso per inutilizzo? Non solo

03 Apr

Ha chiuso i battenti ieri la versione consumer (cioè quella “aperta al pubblico”) di Google Plus, ma in pochi si sono accorti di questa “dipartita”, perché in effetti pochi ne conoscevano o ricordavano l’esistenza. Google Plus, indicato anche come Google+ oppure G+, è stato l’ennesimo vano tentativo di inseguire Facebook con un social network che, non essendo mai realmente decollato, è stato “farcito” automaticamente di utenti grazie ad un legame automatico con gli account dell’universo Google, con l’inclusione “coatta” degli utenti degli smartphone con sistema operativo Android.

Insomma un social senz’anima, non desiderato e quindi ignorato, la cui fine era inevitabile. Ma non è nella sua scarsa vitalità il vero motivo che ne ha reso opportuna la chiusura. Un altro problema – ben più rilevante – ha spinto il gruppo a chiudere il capitolo Google Plus: un bug che ha reso accessibili al mondo i dati personali legati a 500mila account, una vulnerabilità che l’azienda conosceva da tempo, ma che era stata tenuta nascosta e ammessa solo in seguito ad un’inchiesta del Wall Street Journal.

La falla avrebbe reso potenzialmente consultabili agli sviluppatori di 488 app vari dati personali come nome, cognome, indirizzo civico e mail, sesso, data di nascita, professione. Una finestra aperta dal 2015 al 2018 e chiusa solo nel marzo dello scorso anno, quando Google ha individuato e risolto il problema. senza però renderlo noto. “Per via della limitata entità del problema” dirà poi l’azienda. Per evitare danni di immagine e pesanti sanzioni, pensiamo noi.

Solamente dopo la pubblicazione dell’inchiesta da parte del WSJ c’è stato l’annuncio da parte di Google dell’avvio di una serie di azioni intraprese a tutela delle informazioni degli utenti. La prima della lista? La chiusura di Google+.

 
Commenti disabilitati su Google Plus, chiuso per inutilizzo? Non solo

Pubblicato da su 3 aprile 2019 in news

 

Tag: , , , , ,

Test sui social network, perché è meglio non cascarci

11 Mar

I test pubblicati attraverso i social network sono un espediente per carpire dati sugli utenti, verosimilmente a scopo di lucro e, comunque, alle spalle dei diretti interessati. Non è la prima volta che ne parlo e molto spesso l’attività dei loro autori è legata in primo luogo all’ecosistema di Facebook, che sulle informazioni personali vive e prospera.

Da qualche tempo a questa parte, però, sembra ci sia – almeno a livello di facciata – un’inversione di rotta ed ora è addirittura l’azienda di Mark Zuckerberg a dichiararsi parte lesa, da quanto si legge in una denuncia sporta nei confronti di Gleb Sluchevsky e Andrey Gorbachov: si tratta di due sviluppatori ucraini, che sono stati accusati di aver raccolto e analizzato dati personali di ignari utenti di Facebook, nonché di aver inserito pubblicità mirata “non autorizzata” nel loro feed di notizie, sfruttando un’app collegata alla piattaforma del social network.

Con la promessa di raccogliere un’entità limitata di informazioni, gli utenti sarebbero stati indotti all’installazione nel browser di un plug-in, in grado di accedere non solo ai dati dell’account, ma anche agli elenchi degli utenti “amici”, benché non pubblicamente visibili. Non è escluso che questa vicenda possa avere legami con un’altra violazione resa nota lo scorso autunno e relativa alla pubblicazione – da parte di un gruppo di hacker – dei messaggi privati di 81mila account Facebook, che a loro volta avevano portato alla diffusione delle informazioni relative a 176.000 profili (la punta di un iceberg, dal momento che il gruppo reo di questa operazione aveva dichiarato di possedere un database con dati di 120 milioni di account), tutte informazioni rivendibili sul mercato dei dati personali.

Quello che è certo è che almeno in un determinato periodo – tra il 2017 e il 2018 – i due ucraini hanno utilizzato il social network per pubblicare alcuni test sulla personalità, con titoli come “Di quale personaggio storico sei il sosia?”, “Hai sangue reale nelle vene?”, “Quanti veri amici hai?” o “Qual è il colore della tua aura?”. Domande decisamente poco esistenziali e soprattutto assolutamente inutili, ma abbastanza attraenti per qualche navigatore in cerca di passatempi senza impegno, pronti a cadere nel tranello in cambio di altri test e oroscopi “personalizzati”.

Dalla lettura della denuncia depositata venerdì scorso, tra le motivazioni sollevate l’azienda fa emergere per Facebook “un irreparabile danno alla reputazione”, con ripercussioni sugli utenti che avrebbero “effettivamente compromesso i propri browser” installando le estensioni richieste dalle app incriminate. Lo “schema” non avrebbe funzionato, tuttavia, se Facebook non avesse approvato l’iscrizione degli hacker – avvenuta con l’utilizzo di due pseudonimi – come sviluppatori autorizzati a sfruttare la feature legata all’accesso a Facebook. Su questa base Facebook punta il dito sui due sviluppatori per violazione del CFAA (Computer Fraud and Abuse Act). La scoperta dell’attività malevola sarebbe avvenuta in seguito ad “un’indagine sulle estensioni dannose” che sarebbero state poi notificate ai team di sviluppo dei browser interessati.

Questa azione legale – che segue di pochi giorni un’altra denuncia verso quattro aziende cinesi accusate da Facebook di aver venduto follower e like fasulli – permette a Facebook di attuare una strategia di difesa dalle denunce, che piovono da più parti nel mondo, in tema di violazione della privacy e della sicurezza delle informazioni. L’obiettivo è di far focalizzare l’attenzione di pubblico e media su hacker malintenzionati, spostandola dalle “debolezze” della piattaforma di social network emerse in casi precedenti, come quello di Cambridge Analytica.

Questo tipo di problema, però, è sorto anni fa e non è superfluo ricordare la denuncia, formulata qualche anno fa nei confronti di Facebook , di aver tracciato “con disinvoltura” le attività online di utenti iscritti e non iscritti al social network mediante i cookies attraverso una raccolta di dati attuata durante la lettura di post pubblici. In quell’occasione Facebook, aveva sostanzialmente ammesso la raccolta di informazioni, precisando che la causa era in un bug.

Se ancora oggi stiamo parlando di queste problematiche, la soluzione non è vicina. Ma, al netto di questa vicenda specifica, la domanda sorge spontanea: è proprio necessario cimentarsi in futili test sulla personalità dalla dubbia (inesistente) attendibilità? Certo, si tratta di giochi simili a quei test che si trovano su riviste da leggere in spiaggia sotto l’ombrellone o in una sala d’attesa. Ma almeno dietro a quelle pagine di carta non si nasconde nessuno pronto ad abbindolarci.

 
Commenti disabilitati su Test sui social network, perché è meglio non cascarci

Pubblicato da su 11 marzo 2019 in news

 

Tag: , , , , , , , , , ,

Privacy, il Garante entra a gamba tesa sulla fatturazione elettronica

17 Nov

Colpo di scena sul fronte della fatturazione elettronica: a un mese e mezzo dalla piena entrata in vigore per il mondo business tuo business il Garante Privacy entra in scena da deus ex machina per dire che il sistema che sta per essere introdotto deve essere rivisto perché non rispetta il principio della privacy by design. E tra gli addetti ai lavori già circolano rumors che vanno in ogni direzione, senza escludere la possibilità di un rinvio.

L’Authority italiana si è espressa argomentando le proprie motivazioni con il provvedimento n. 481 del 15 novembre 2018, pubblicato sul sito web del Garante, che si focalizza sulle possibili violazioni delle regole dettate dal GDPR su protezione e riservatezza dei dati trattati nell’ambito della fatturazione elettronica.

Per questo motivo sollecita l’Agenzia delle Entrate a comunicare i provvedimenti intrapresi per rendere conformi al Regolamento Europeo i trattamenti di dati personali su larga scala che è chiamata a gestire. Il sistema prevede che l’Agenzia, oltre a recapitare le fatture mediante il sistema di interscambio (SDI), si occupi anche di conservare tutti i dati – non solo di rilevanza fiscale, ma anche i dettagli contenuti nelle fatture – e del loro utilizzo nell’ambito delle verifiche. Ma fra quelle informazioni (non solo fiscali) si troveranno anche il tipo di beni e servizi oggetto della fatturazione, dati sui pagamenti, nonché altri dati utilizzabili per poter fare altre elaborazioni (ad esempio una profilazione sulle preferenze di acquisto, o sull’affidabilità finanziaria).

Un patrimonio di informazioni che è anche nelle mani numerosi intermediari incaricati alle aziende (si pensi ad esempio a chi offre un servizio di conservazione dei documenti elettronici in cloud), e che il Garante esige venga corazzato affinché non possa finire in mani diverse da quelle per cui è stato pensato.

L’Agenzia dovrà ora procedere con sollecitudine a rendere conforme il sistema, ma le tempistiche di queste attività sono ancora da pianificare e verificare, ed è per questo motivo che non si esclude un differimento dell’entrata in vigore dell’utilizzo della piattaforma.

Una beffa quasi last minute, su una perseguita innovazione, che fin dall’inizio ha incassato numerose critiche e che ora potrebbe essere addirittura sospesa, con buona pace di chi sta correndo per essere in ordine in vista dei termini già fissati. C’è però un aspetto da sottolineare, che emerge tra le righe di questa “piccata” osservazione del Garante:

Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

Oltre alle lacune evidenziate in termini di sicurezza del sistema, c’è quindi una lacuna forse più pesante che riguarda la preoccupante mancanza di coordinamento del progetto visto nella sua complessa interezza.

 
Commenti disabilitati su Privacy, il Garante entra a gamba tesa sulla fatturazione elettronica

Pubblicato da su 17 novembre 2018 in news

 

Tag: , , , , ,

Facebook, 50 milioni di account compromessi da una falla. Sì, un’altra

28 Set

Analitica

Il 2018 non è finito, e nemmeno i problemi di Facebook con i dati dei suoi utenti: secondo il New York Times, 90 milioni di loro in queste ore sono stati indotti ad autenticarsi per accedere di nuovo al social network, dopo l’attivazione di una procedura di sicurezza da parte dello staff guidato da Mark Zuckerberg, in seguito alla scoperta di una falla che ha compromesso la sicurezza dei dati personali relativi a 50 milioni di account.

Se anche a voi è capitato di dover accedere nuovamente tramite app o da browser, ecco spiegato il motivo. Nel frattempo è stato disattivato il servizio “Visualizza come…” (quello che permette all’utente di sapere come la sua timeline viene visualizzata da un determinato amico).

Le indagini sono tutt’ora in corso ed è probabile che a breve si possa capire qualcosa di più sul problema dichiarato. Cifre e versioni potrebbero cambiare. Ma sembra ormai assodato che, nonostante il caso Cambridge Analitica, Facebook continui a trattare i dati degli utenti con un’ingiustificabile disinvoltura e con un’attenzione inadeguata dal punto di vista della sicurezza delle informazioni.

Nel frattempo, la raccomandazione rimane sempre la stessa: non condividete su Facebook informazioni personali (sia nei dati del profilo che in testi, foto e video) che potrebbero essere sfruttate da malintenzionati. Più in generale, non cedete dati personali come contropartita di qualche servizio o beneficio apparentemente gratuito.

Mantenete sempre la consapevolezza del fatto che nel mondo digitale la sicurezza al 100% non esiste. La riservatezza di ciò che vi sta davvero a cuore non ha prezzo.

 
2 commenti

Pubblicato da su 28 settembre 2018 in news

 

Tag: , , , , ,

DeleteMe, un’app per la privacy

21 Gen

image

Se siete molto attivi sul web e siete convinti – e ne avete ben donde – che la vostra privacy sia un valore e un diritto irrinunciabile, DeleteMe è l’app che fa per voi.

Foto, dati personali con indirizzi e numeri telefonici, orientamenti politici, religione, stato di salute sono dati utilissimi alle aziende che fanno data mining e text mining e a chi si occupa di profilazione degli utenti, soprattutto nel mondo dell’advertising, che sostiene tutte quelle attività accessibili gratuitamente su Internet.
 
DeleteMe va installata e alimentata con i dati personali dell’utente. Sarà l’app (al momento disponibile solo per iPhone e iPad) ad effettuare una scansione del web per trovare le pagine che li contengono e proporle, in un elenco, allo stesso utente, che potrà selezionare i siti web da cui vorrà essere cancellato. Sarà lo staff di Abine (l’azienda che ha realizzato l’app) ad occuparsi degli aspetti burocratici (la prima volta il servizio è a costo zero, eventuali richieste successive saranno fatturate).

 
Commenti disabilitati su DeleteMe, un’app per la privacy

Pubblicato da su 21 gennaio 2013 in Buono a sapersi, cellulari & smartphone, Internet, tablet, tecnologia

 

Tag: , , , , , , ,

Instagram: “non vogliamo vendere le vostre foto”

19 Dic

Dopo aver registrato innumerevoli feedback negativi, critiche e lamentele da mezzo mondo in relazione alle novità sulle condizioni contrattuali rese note solo ieri, Kevin Systrom – co-fondatore di Instagram – scrive un nuovo post nel blog aziendale per spiegarsi meglio e “rispondere alle vostre domande, sistemare ogni errore ed eliminare la confusione”. Non solo:

“Modificheremo punti specifici delle condizioni per fare maggiore chiarezza su ciò che accadrà con le vostre foto. I documenti con valore legale possono essere facilmente mal interpretati”.

Rivolgendosi quindi alle specifiche preoccupazioni espresse da tutti, Systrom tiene a precisare che l’advertising è una fonte di auto-sostentamento, ma non è l’unica, e che l’obiettivo delle nuove condizioni è la volontà di sperimentare nuove forme di pubblicità appropriate per Instagram: “invece questo è stato interpretato da molti come l’intenzione di vendere le vostre foto senza alcun compenso. Questo non è vero e il nostro linguaggio fuorviante è un nostro errore . Per essere chiari: non è nostra intenzione vendere le vostre foto”. Foto che, aggiunge, non saranno cedute per diventare parte di inserzioni pubblicitarie.

La parte più rilevante del post chiarificatore è questa:

“Gli utenti di Instagram sono proprietari dei propri contenuti e Instagram non rivendica alcun diritto di proprietà sulle vostre foto”.

Chiarimenti anche sul fronte delle impostazioni della privacy: “Impostando le foto come private, Instagram le condividerà solamente con gli utenti approvati che vi seguono”.

InstagramNationalGeographicQualcuno, alla luce di queste spiegazioni, riguardo alla possibile vendita delle foto da parte di Instagram, ha parlato di bufala. Io non la liquiderei come tale: il fraintendimento non è stato circoscritto in una chiacchierata di quattro amici al bar, ma dalla stampa di mezzo mondo e da moltissimi utenti – tra cui il National Geographic, che come potete vedere ha già preso provvedimenti – e il motivo è nel fatto che tutti hanno letto frasi come questa, che riporto testualmente e traduco (più o meno maccheronicamente) nel seguito:

“You agree that a business or other entity may pay us to display your username, likeness, photos (along with any associated metadata), and/or actions you take, in connection with paid or sponsored content or promotions, without any compensation to you.”

Concordate che una società o altra entità possa pagarci per esporre i vostri nome utente, ritratto, le foto (insieme a tutti i metadati associati), e /o azioni da voi intraprese, collegati a contenuti a pagamento o sponsorizzati o promozioni, senza alcun compenso per voi

Registriamo quindi questa retromarcia da parte di Instagram (lo è, dal momento che introdurranno modifiche alle condizioni rese note ieri), ma continuiamo a mantenere ben dritte antenne e orecchie 😉

 
Commenti disabilitati su Instagram: “non vogliamo vendere le vostre foto”

Pubblicato da su 19 dicembre 2012 in brutte figure, business, cloud, Internet, Ipse Dixit, mumble mumble (pensieri), news, privacy, security, social network

 

Tag: , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: