Collection #1

Notizia del giorno, la comparsa di una gigantesca raccolta di credenziali rubate a seguito di svariati data breach e site breach occorsi nel passato.

Qualcuno si è preso la briga di collezionare (per proporne la vendita) le credenziali rubate disponibili nel dark-web; si tratta di oltre 773 milioni di credenziali (prevalentemente e-mail / password associata, moltissime addirittura decifrate oppure in formato testo ).

Dato che spesso gli utenti usano la stessa password per molteplici credenziali, visto che nella raccolta ci sono anche molti datasets di siti italiani, consiglio di verificare se il proprio indirizzo e-mail è compreso nella vastissima collezione.

Adesso tutti hanno capito che le credenziali di accesso con sola password non garantiscono grande sicurezza; abbiamo anche capito perchè occorre cambiare spesso la password.

Aggiornamento: come al solito, molta stampa generale non ha capito molto di quanto accaduto; alcuni hanno banalizzato, molti altri hanno paventato scenari catastrofici. Negli 87 TeraByte, sono presenti sicuramente credenziali “datate”, ma gli indirizzi e-mail non sono soggetti a cambiare (come sarebbe previsto per le password, ma anche qui occorrerebbe condurre un lungo ragionamento sulla frequenza con la quale gli utenti cambiano la password di servizi on-line).

Quindi gli indirizzi e-mail (che sono reali e moltissimi dei quali attivi) si prestano a tutta una serie di attività illecite. Inoltre, un indirizzo e-mail è (di norma) facilmente riconducibile ad una specifica persona; si pensi agli effetti indotti dalla conoscenza della sua iscrizione ad un particolare sito o servizio.

Per non parlare del dataset delle password, le quali costituiscono un campione reale e significativo di password comunemente usate e che quindi può essere usato per “alimentare” sistemi automatici di brute-force attack.

Aggiornamento2: famosi esperti di sicurezza hanno sentenziato che verificare il proprio indirizzo e-mail sul sito haveibeenpwned peggiorerebbe ulteriormente la situazione, in quanto si fornirebbe, insieme ad una e-mail, l’indirizzo IP da quale ci si collega.

Prima considerazione: il proprietario del sito è un affermato professionista e security developer, Troy Hunt; quindi dietro al sito non c’è un hacker ma una persona seria che ha messo gratuitamente a disposizione una importante (e costosa) risorsa per capire se si è incappati in un data breach; non credo che il servizio abbia fini reconditi.

Secondo: la consapevolezza del fatto che i proprio indirizzo e-mail (magari associato alla relativa password) è finito in giro per il mondo è estremamente rilevante; proprio per questo, il GDPR obbliga i titolari che sono stati oggetto di data breach a comunicare tempestivamente il fatto agli interessati coinvolti.

Terzo: in ogni caso, è possibile collegarsi da un indirizzo IP “anonimizzato”, come quello fornito da una delle tantissime vpn (anche gratuite) disponibili oppure tramite TOR. Per i soggetti privati che volessero approfondire in sicurezza ma che non si sentono in grado di farlo, sono a disposizione, nel tempo libero, pro bono.

Alto pericolo! Il tuo account è stato attaccato

Continuano le insidiose campagne di phishing-scam-truffa da parte di delinquenti che simulano di avere “pieno accesso al tuo accont” e-mail inviando una e-mail forgiata ad-hoc per sembrare proveniente dallo stesso account (dichiarato come compromesso).

Nel testo del messaggio indicano che “hanno infettato il pc con un malware presente in un sito per adulti”, che “hanno registrato un video tramite la webcam” e che lo “invieranno a tutti i contatti” qualora non si paghino 210 euro in bitcoin entro 48 ore.

ATTENZIONE – NON PAGATE ASSOLUTAMENTE!
Nei casi che abbiamo analizzato, non vi era stata alcuna compromissione, ma solo una falsa attestazione; in ogni caso, non vi è alcuna certezza che il malvivente manterrebbe quanto promesso.

Qualora il messaggio scam abbia interessato accounts aziendali, è necessario far verificare – con assoluta certezza – che l’evento non sia effettivamente accaduto, in quanto si tratterebbe di data breach.

Se volete avere la certezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

In ogni caso è sempre buona norma sostituire la password degli account e-mail interessati; vedasi l’articolo Collection #1.

Aggiornamento: circola anche una altra versione del tentativo di truffa, dal titolo “Questo è il mio ultimo avvertimento“, e sulla falsariga del precedente ha “un video imbarazzante che spedirò a tutti i tuoi amici”, e chiede 2.000 euro in bitcoin (con tanto di esatta conversione bitcoin-euro).

Il primo scam-truffa proveniva dalla Ucraina, è stato segnalato alla funzione abuse dell’internet provider ed attualmente il mailserver (compromesso) è stato messo offline.

Il secondo mailserver utilizzato è negli Stati Uniti, appare in uso a soggetti cinesi; è stato segnalato ed attendiamo provvedimenti dal cloud provider – update anche il secondo mailserver è down!

Aggiornamento giorno 2: questo post sta avendo un enorme traffico, e stò ricevendo molte richieste di informazioni alle quali non potrò dare seguito; chi lo ritiene si rivolga alla Polizia Postale.
Purtroppo alcuni sono caduti nella truffa, da quanto si evince dal saldo del wallet bitcoin del primo messaggio (0.98328264 BTC alle ore 22:50 del 15 gennaio – il secondo wallet è fortunatamente ancora a zero).

Aggiornamento giorno 3: ancora ulteriori pagamenti sul primo wallet; 2.22784895 BTC alle ore 22.00. Da non credere!

Aggiornamento giorno 4: continua lo spam con il messaggio “Alto pericolo!”, adesso proveniente da un indirizzo IP della Turchia; continuano ad abboccare le persone che ricevono lo scam-truffa (sino ad oggi il wallet ha ricevuto 40 transazioni).

Aggiornamento giorno 8: dai dati, sembra che il picco sia passato; riporto una analisi degli accessi aggregati al sito:

come si può vedere, il massimo delle ricerche è stato il 15 gennaio, giorno successivo al manifestarsi della attività di spam – scam.

Ad oggi, il conto bitcoin indicato nel primo messaggio ha totalizzato 67 transazioni, per un valore totale di circa 4,5 bitcoin, equivalenti a circa 14.100 euro.

Maggiori Data Breach 2018

Fine anno è tempo di riepiloghi e bilanci; vorrei proporre una tabella riassuntiva con elenco sintetico dei più rilevanti Data Breaches occorsi nel 2018 (fonte WikiPedia).

Tutti conoscono il data breach Facebook – Cambridge Analytica, alcuni anche di quello occorso al gruppo Marriott, ma solo pochi sono al corrente del peggiore data breach avvenuto nel 2018: quello accaduto a MyHeritage , valutato l’impatto potenziale sugli interessati, in base alla tipologia di dati oggetto della violazione (dati genetici).

Organizz.Dati coinvoltiSettoreTipo Breach
AerServ (subsidiary of InMobi)75000advertisinghacked
Bethesda Game Studiosunknowngamingaccidentally published
BMO and Simplii90000bankingpoor security
British Airways380000transporthacked
Cathay Pacific Airways9400000transporthacked
Centers for Medicare & Medicaid Services75000healthcarehacked
Facebook50000000social networkpoor security
Google Plus500000social networkpoor security
Marriott International500000000hotelhacked
MyHeritage92283889genealogyunknown
Orbitz880000webhacked
Popsugar123857fashionhacked
Quora100000000Question & Answerhacked
Redditunknownwebhacked
SingHealth1500000government, databasehacked
Ticketfly (subsidiary of Eventbrite)26151608ticket distributionhacked
Typeformunknowntechpoor security
Under Armour150000000Consumer Goodshacked
WordpressunknownC.M.S.hacked

Windows SandBox

Microsoft sta preparando una delle più grandi novità di sempre, e questa sarà disponibile sul sistema operativo Windows 10 dal prossimo aggiornamento (2019). Si tratta di una SandBox, un ambiente operativo isolato e separato da quello principale, nel quale eseguire applicazioni “untrusted”.  Ulteriori informazioni alla apposita pagina.

GDPR e fattura elettronica

Come saprete, l’Autorità di Controllo italiana si è espressa sulla imminente estensione dell’obbligo di fatturazione elettronica alle operazioni “business to business” e “business to consumer” , emanando un provvedimento nel quale ha evidenziato diverse importanti criticità.

Nel confermare tutte quante le preoccupazioni espresse dal Garante per la Protezione dei Dati Personali, vorrei evidenziare tre punti in particolare.

Il trattamento di tutti i dati relativi ad una fattura, comprese le descrizioni di ogni riga, oltre che violare i principi di privacy by default e di minimizzazione, determinano il rischio che soggetti terzi non autorizzati possano avere accesso a tali informazioni; tale condizione è particolarmente rilevante qualora la transazione economica riguardi interessi coperti da segreti aziendali, industriali o comunque si debba mantenere la riservatezza su tali importi o sconti applicati.

Come secondo punto, occorre considerare gli aspetti derivanti dalla funzione degli “intermediari e dagli altri soggetti operanti nell’ambito della fatturazione elettronica”;  si realizzeranno dei trattamenti “big-data”, soggetti non solo ai rischi indicati dal Garante ma anche a procedure di “data mining”, tramite le quali estrarre rilevanti e preziosissime informazioni sottese.

Come terzo aspetto, e consentitemi una notazione tecnologica; ai giorni nostri, l’adozione del protocollo ftp (nato nel 1971) per trasferire elevate quantità di dati, anche personali e potenzialmente di “levatura particolare”, equivale ad inviare dati personali usando piccioni viaggiatori. Ciò conferma che, spesso, chi determina non ha esatta contezza degli aspetti tecnici e delle conseguenze delle proprie decisioni.

Mi auguro che, in extremis, qualcuno si prenda la briga quantomeno di cercare soluzioni, procedurali e tecniche.

Aggiornamento del 21 dicembre: al tavolo tecnico svoltosi nei giorni scorsi tra Agenzia delle Entrate e Garante Privacy, ha fatto seguito un provvedimento del Garante.

Invito tutti i soggetti “coinvolti” nella fatturazione elettronica a leggere con attenzione il provvedimento, in particolare gli operatori sanitari, gli intermediari e gli altri soggetti delegati nell’ambito della fatturazione elettronica.

Sono state accettate le contestazioni della Autorità di Controllo italiana relative alla sproporzione della memorizzazione di tutti i dati delle fatture (le descrizioni di riga, ma anche i dati correlati, quali quelli dei vettori) e quelle relative alla assoluta insicurezza del protocollo ftp, che adesso verrà sostituito con sftp (logica conseguenza).

L’ Autorità ha autorizzato la fatturazione elettronica, alle condizioni indicate nel provvedimento, chiedendo alla Agenzia delle Entrate, entro il 15 aprile 2019, di rifare la DPIA (adesso carente in alcune parti) e di valutare l’adozione di algoritmi di cifratura dei files XML trasmessi al SDI.