Cryptopia in liquidazione

Da giorni gli utenti hanno intuito che le cose non andavano; oggi è arrivata la comunicazione ufficiale: l’exchange neozelandese è stato messo in liquidazione.

Ad inizio anno aveva subito un attacco cracker, seguito da uno recente; proprio quest’ultimo potrebbe essere stato fatale.

Purtroppo questi sono i risultati della insicurezza dei sistemi informativi.

Binance violato, spariti 7000 bitcoin

Binance, uno dei maggiori exchange di cryptovalute, è stato violato da ignoti; come risultato, 7000 Bitcoin (circa 44 milioni di dollari) sono stati rubati e trasferiti su vari wallet; attualmente i criminali sono all’opera per distribuire il malloppo in molteplici altri wallet, nel tentativo di “far perdere le tracce”.

Molti pseudo-esperti, invece di focalizzare l’attenzione sul problema reale (insicurezza di tutti gli exchange, ma non solo) propongono soluzioni paradossali.

Come sempre, rimane difficilissimo da digerire il concetto di security by design; generalmente, quando occorre lanciare un servizio, saltiamo del tutto le fasi di progettazione e programmazione sicura, facciamo scrivere da programmatori junior – alla meno peggio – un software che fa quanto serve, tralasciamo del tutto gli assessment di sicurezza in quanto troppo onerosi, lo mettiamo on-line ed incrociamo le dita.

Spesso anche quando tale software o infrastruttura informativa gestisce cifre rilevanti o dati importanti.

Poi capita che vengono rubati milioni di euro, ma i clienti non debbono preoccuparsi in quanto “Binance utilizzerà il fondo SAFU per coprire le perdite provocate dagli hacker” (che in questo caso non sono hacker ma cracker); quindi nessun problema.

PEC ordine avvocati Roma violata

Giunge notizia che “i soliti ignoti” avrebbero violato oltre 30.000 caselle PEC relative all’ordine degli avvocati di Roma.

Il condizionale è d’obbligo in quanto, pur essendo già disponibili sui MEGA e PRIVATEBIN gli archivi con il frutto dell’hacking, non ho ovviamente scaricato nulla in quanto illegale; le schermate mostrate confermerebbero il fatto.

Come sempre, sicurezza informatica cercasi.

Relazione annuale del Garante

Stamani il Presidente Soro, della Autorità per la protezione dei dati personali, ha relazionato sulla trascorsa attività annuale, che conclude il settennato dell’attuale Collegio.

Il Dott. Soro, nel suo emozionato ed emozionante intervento, ha parlato di centralità della persona e di come sia essenziale il presidio della tutela dei dati personali a garanzia della democrazia, dello smarrimento del senso del limite della tecnologia e della necessità di eticità e sostenibilità quali caratteristiche imprescindibili della stessa, del valore della protezione dei dati personali a tutela della dignità dell’uomo, della necessità di essere consapevoli della rilevanza dei propri dati, dei rischi inerenti l’adozione di processi automatici e predittivi a supporto di decizioni aventi effetti rilevanti sugli individui.

Nel suo discorso ha toccato moltissimi temi, da IA, machine learning, duopolio USA – Cina, regimi digitali, rischi dei grandi dataset, cyberwars, centralità del GDPR e della politica europea, datagate Snowden, dataretention, captatori di stato, trattamenti in ambito giudiziario, cyberbullismo, diritto all’oblio e deindicizzazione e tutela della dignità della persona, revenge porno, digitalizzazione amministrativa, fatturazione elettronica, sicurezza infrastrutture e sicurezza nazionale, cloud, 5G, ecosistema digitale, cyberguerriglia permanente; rilevante incremente di attacchi informatici, malasanità e protezione dati necessaria per la qualità della cura, eccessi informativi, aumento banche dati e sistemi di profilazione di soggetti privati, crescita esponenziale di profili personali, misurazione rating reputazionale, valutazione discrezionali automatiche, telemarketing e abusi, diritto del lavoratore e tutela diritti fondamentali, voto elettronico e 5stelle, nuova idea di cittadinanza, cultura del diritto di libertà, tema delle intercettazioni e “giornalismo di trascrizione”.

Questo Collegio lascia una preziosa eredità alla Autority, purtroppo sempre in deficit di risorse; auguro l’elezione di nuovi componenti dai profili specifici ed altamente competenti, capace di governare le sfide – prevedo ciclopiche – che interverranno nei prossimi sette anni.

EDPS investiga la telemetria di Office

EDPS – European Data Protection Supervisor (Garante Europeo della protezione dei dati) ha messo sotto indagine Microsoft, in relazione alle funzioni di telemetria di Office 2016 e del correlato servizio Office 365.

L’indagine ha avuto avvio da una valutazione effettuata dalla Autorità di controllo olandese, la quale ha commissionato una DPIA – Data Protection Impact Assessment, nella quale si sono evidenziate attività incompatibili con il GDPR.

Nell’ottimo assessment tecnico effettuato, si è evidenziato un invio di dati diagnostici abnorme (oltre 25.000 tipologie diverse di eventi), la presenza di metadati relativi all’utente e della intestazione delle e-mail, oltre a parti dei contenuti dei testi, specialmente quando sono usati correttore automatico e traduttore.

Sono stati elencati otto punti maggiori di incompatibilità con il Regolamento UE 679/2016:

  • mancanza di trasparenza ed informazione all’utente;
  • impossibilità, per gli utenti, di impostare – o disabilitare del tutto – le funzioni di telemetria;
  • illegale acquisizione e memorizzazione di dati personali speciali/sensibili/classificati;
  • incorretta qualifica di Microsoft come data processor;
  • insufficiente controllo sui sub-processors e sulla relativa elaborazione dei dati;
  • inapplicazione del criterio di limitazione allo scopo (telemetria); a mio parere anche inapplicazione del criterio di minimizzazione e di privacy by design;
  • trasferimento illecito di dati personali al di fuori dello spazio europeo;
  • periodo di data retention indefinito.

Microsoft ha comunicato che sta lavorando per risolvere tutti i punti contestati; fornirà una documentazione esaustiva sulla tipologia di dati raccolti da Office, opzioni chiare e semplici per permettere all’utente o all’amministratore di decidere tipologie e quantità di dati, e uno strumento che permetterà ad amministratori ed utenti di visualizzare i dati raccolti (a mio parere la più grave lacuna attualmente presente).

Segnalo come Microsoft, in passato, sia già stata oggetto di contestazioni simili, in relazione alle funzioni di telemetria di Windows (specialmente il 10).

Update: oggi (15 maggio) una mia installazione di Office 2016 ha chiesto di scegliere quali dati diagnostici condividere: obbligatori e facoltativi; viene proposto un link alla informativa estesa.