Preoccupa e crea confusione l’attualissima pubblicazione di dati sensibili di politici e celebrità. Gli esperti di sicurezza G DATA analizzano quanto accaduto e illustrano come proteggersi al meglio da tali divulgazioni.
Orbit è lo pseudonimo dello youtuber che per settimane ha pubblicato in rete dati privati di politici di quasi tutti i gruppi parlamentari, della stessa cancelliera federale oltre a quelli di varie celebrità. Attualmente non sono chiare né le motivazioni di un simile gesto nè le effettive modalità di acquisizione delle informazioni sensibili.
Sebbene la AfD allo stato attuale risulta essere l’unico partito rappresentato in Parlamento non colpito da tali divulgazioni, è chiaro che non si tratta di una reiterazione dell’attacco alla rete del Parlamento tedesco che ha avuto luogo all’inizio del 2018.
Soprattutto la scelta operata dallo youtuber di divulgare le informazioni tramite un falso account Twitter non dà l’impressione di una campagna mirata secondo gli esperti G DATA, tant’è che le informazioni pubblicate non sono state notate da quasi nessuno per ben un mese. Il giovane youtuber si è più verosimilmente limitato ad un “doxing” mirato delle persone colpite, termine che definisce la raccolta e divulgazione in rete, contro la volontà dei soggetti coinvolti, di dati privati tra cui l’indirizzo di casa, recapiti telefonici personali, indicazioni sui figli, numeri di carte di credito, persino copie dei documenti d’identità: informazioni il cui potenziale di abuso risulta particolarmente elevato, ma facilmente reperibili attraverso ricerche dettagliate, senza richiedere attacchi specifici. Si specula in altri casi sulla raccolta di dati presenti sugli account online dei soggetti colpiti a cui lo youtuber può essersi procurato accesso grazie a leaks già noti, favorito dall’uso dei malcapitati di password insicure o reiterate su più piattaforme.
Soprattutto la scelta operata dallo youtuber di divulgare le informazioni tramite un falso account Twitter non dà l’impressione di una campagna mirata secondo gli esperti G DATA, tant’è che le informazioni pubblicate non sono state notate da quasi nessuno per ben un mese. Il giovane youtuber si è più verosimilmente limitato ad un “doxing” mirato delle persone colpite, termine che definisce la raccolta e divulgazione in rete, contro la volontà dei soggetti coinvolti, di dati privati tra cui l’indirizzo di casa, recapiti telefonici personali, indicazioni sui figli, numeri di carte di credito, persino copie dei documenti d’identità: informazioni il cui potenziale di abuso risulta particolarmente elevato, ma facilmente reperibili attraverso ricerche dettagliate, senza richiedere attacchi specifici. Si specula in altri casi sulla raccolta di dati presenti sugli account online dei soggetti colpiti a cui lo youtuber può essersi procurato accesso grazie a leaks già noti, favorito dall’uso dei malcapitati di password insicure o reiterate su più piattaforme.
Come proteggersi dal doxing?
1) Autenticazione a due fattori: al giorno d’oggi, accontentarsi di un login basato su una sola password è davvero vecchio stile oltre che rischioso: accade infatti ripetutamente che password presumibilmente segrete vengano “smarrite” da operatori poco attenti o mal protetti. Ad esempio, in rete circolano ancora milioni di password derivanti dall’attacco hacker che colpì Dropbox del 2012: è in pericolo quindi chi utilizza la stessa password su più piattaforme o chi, da allora, non ha provveduto a crearne una nuova. L’autenticazione a due fattori richiede, oltre alla singola password, l’inserimento di un codice temporaneo che appare sullo smartphone o di uno speciale dispositivo collegato al computer.
2) Verificare l’integrità della password: sono diversi i servizi che aiutano a verificare se un account è stato soggetto ad attacchi e divulgazione di dati. Tra questi HaveIBeenPwned o Identity Leak Checker sono i più gettonati. Da qualche tempo chi utilizza il browser Firefox può venire informato riguardo a eventuali problemi.
3) Googlare regolarmente il proprio nome: in questo modo, è possibile capire quali sono le informazioni personali condivise in rete, verificarne la correttezza e constatare se l’eventuale presenza di dettagli sia voluta o meno.
4) Beneficiare del GDPR: il regolamento generale sulla protezione dei dati personali prevede, in base a precise condizioni, il diritto di richiedere la cancellazione dei dati o di predisporre correzioni, qualora fornitori di servizi online pubblicassero informazioni false o obsolete sulla propria persona.
5) Disattivare i cookies di terzi: sul web i cookies sono uno strumento utile, per salvare ad esempio impostazioni su un sito web come la dimensione del carattere utilizzata. Tuttavia, i cookies di terzi, come quelli delle reti pubblicitarie, possono raccogliere numerose informazioni sull’utente in merito a siti consultati o precisi interessi. Molti siti web offrono la possibilità di adattare le impostazioni dei cookies in modo specifico, in alternativa è possibile cancellarli regolarmente.
6) Verificare le autorizzazioni delle app: Sono ormai numerose le autorizzazioni richieste dalle app per smartphone e dare il consenso in effetti presenta spesso diversi vantaggi. Basti pensare a Whatsapp, dove caricando la rubrica è possibile identificare i contatti dotati della stessa applicazione – pratica discussa a livello di legislazione sulla protezione dei dati. Vale la pena comunque prestare attenzione quando si installano nuove applicazioni. Perché ad esempio una app “torcia” dovrebbe poter accedere alla mia posizione?
2) Verificare l’integrità della password: sono diversi i servizi che aiutano a verificare se un account è stato soggetto ad attacchi e divulgazione di dati. Tra questi HaveIBeenPwned o Identity Leak Checker sono i più gettonati. Da qualche tempo chi utilizza il browser Firefox può venire informato riguardo a eventuali problemi.
3) Googlare regolarmente il proprio nome: in questo modo, è possibile capire quali sono le informazioni personali condivise in rete, verificarne la correttezza e constatare se l’eventuale presenza di dettagli sia voluta o meno.
4) Beneficiare del GDPR: il regolamento generale sulla protezione dei dati personali prevede, in base a precise condizioni, il diritto di richiedere la cancellazione dei dati o di predisporre correzioni, qualora fornitori di servizi online pubblicassero informazioni false o obsolete sulla propria persona.
5) Disattivare i cookies di terzi: sul web i cookies sono uno strumento utile, per salvare ad esempio impostazioni su un sito web come la dimensione del carattere utilizzata. Tuttavia, i cookies di terzi, come quelli delle reti pubblicitarie, possono raccogliere numerose informazioni sull’utente in merito a siti consultati o precisi interessi. Molti siti web offrono la possibilità di adattare le impostazioni dei cookies in modo specifico, in alternativa è possibile cancellarli regolarmente.
6) Verificare le autorizzazioni delle app: Sono ormai numerose le autorizzazioni richieste dalle app per smartphone e dare il consenso in effetti presenta spesso diversi vantaggi. Basti pensare a Whatsapp, dove caricando la rubrica è possibile identificare i contatti dotati della stessa applicazione – pratica discussa a livello di legislazione sulla protezione dei dati. Vale la pena comunque prestare attenzione quando si installano nuove applicazioni. Perché ad esempio una app “torcia” dovrebbe poter accedere alla mia posizione?
Per proteggersi da software dannosi e amministrare le autorizzazioni delle app è opportuno dotarsi di soluzioni per la sicurezza mobile, come G DATA Internet Security per Android
7) Attenzione alle mail: molti utenti sanno che non si dovrebbero aprire gli allegati provenienti da mittenti sconosciuti. La posta elettronica però presenta ulteriori pericoli: i cybercriminali possono infatti nascondere software dannosi o pixel di monitoraggio, anche nelle immagini integrate in mail recapitate in formato HTML, entrambi consentono loro di reperire informazioni sugli utenti. Sarebbe quindi consigliabile inviare e ricevere mail solo in formato testo e disattivare il caricamento automatico delle immagini.
7) Attenzione alle mail: molti utenti sanno che non si dovrebbero aprire gli allegati provenienti da mittenti sconosciuti. La posta elettronica però presenta ulteriori pericoli: i cybercriminali possono infatti nascondere software dannosi o pixel di monitoraggio, anche nelle immagini integrate in mail recapitate in formato HTML, entrambi consentono loro di reperire informazioni sugli utenti. Sarebbe quindi consigliabile inviare e ricevere mail solo in formato testo e disattivare il caricamento automatico delle immagini.