L’ineluttabilità della insicurezza

Ogni tanto accade un fatto talmente eclatante che dovrebbe fare scuola, nel campo della sicurezza informatica.

Il giorno 11 febbraio VFEmail, un provider e-mail americano è stato oggetto di un attacco catastrofico (definita da loro stessi “catastrophic destruction”), da parte di soggetti che hanno completamente azzerato le loro risorse I.T. , ivi compresi tutti i backups.

Allo stato attuale, sembra che non riusciranno a recuperare nulla; sono stati quindi cancellati tutti gli archivi di posta dei loro utenti.

Allo stato, non hanno ancora realizzato come questo attacco totale sia stato possibile:
“Strangely, not all VMs shared the same authentication, but all were destroyed. This was more than a multi-password via ssh exploit, and there was no ransom. Just attack and destroy.”

Sono molto spiacente dell’accaduto; talvolta capita che un cracker (in questo caso, probabilmente dei paesi dell’est) “bussi alla porta 22”; sta a noi averla precedentemente resa resiliente (oppure bloccata per gli IP “alieni”).

P.S. invito i giornalisti a comprendere la differenza tra hacker e cracker e ad usare la definizione appropriata.

Casella e-mail e cancellazione per inutilizzo

Ho ricevuto una richiesta di approfondimento, in merito ad un servizio di e-mail gratuito.

La persona lamenta il fatto che, non usando il suo indirizzo di posta elettronica personale (della tipologia nome.cognome@dominio.it) per alcuni mesi, si è trovato con la casella non funzionante.

Ha cercato maggiori informazioni tra le varie guide sul sito (che probabilmente nessuno legge prima di attivare il servizio); ha scoperto che la casella e-mail non utilizzata per due mesi viene rimossa e l’indirizzo ritorna disponibile a chiunque lo registri.

A parte le facili considerazioni pratiche, una mia riflessione: un’indirizzo e-mail, specialmente se registrato da un privato con la classica configurazione nome.cognome@dominio costituisce a tutti gli effetti un dato personale.

Che il fornitore si arroghi il diritto di cancellare (automaticamente) la casella con tutti i contenuti e di renderla nuovamente disponibile a terzi per la registrazione non pare molto compliant al regolamento sulla protezione dei dati personali.

Magari qualcuno vorrà interrogare il Garante per la Protezione dei Dati Personali ?