Sapete qual è il tallone d’achille della catena di sicurezza che protegge i vostri dati personali, le informazioni bancarie e altri tipi di informazioni sensibili? Siete voi stesi. Per anni, l’unico elemento difficile da controllare per i sistemi di sicurezza era l’essere umano.
Oggi i dipartimenti di sicurezza hanno a che fare principalmente con una questione: cosa permettere e cosa proibire. Se si impongono troppi divieti, gli impiegati inizieranno a ignorare le regole o non saranno in grado di lavorare con efficenza. Se si dà loro troppa libertà, si corre il rischio di mettere in pericolo le informazioni aziendali, così come i dati personali di valore.
Leave your passwords at the Checkout Desk: “Do Not Disturb” Does Not Apply to In-room tablets https://t.co/ev0AwZ3W1D (by @dimitribest)
— Fabio Assolini (@assolini) 23 октября 2014
La prima cosa da tenere a mente è rendersi conto che possiamo essere la causa della fuga di informazioni e, in tal caso, assumerci la responsabilità dei fatti. Ogni volta che accedete ad un account personale da un dispositivo sconosciuto e lasciate la sessione aperta, i vostri dati diventano vulnerabili. Qualche volta la svista vi potrebbe costare caro; per esempio, il vostro ID Apple e Google Wallet sono collegati alla vostra carta di credito. Ma sfortunatamente sono pochi coloro che pensano a queste cose quando usano un dispositivo mobile.
Ma parliamo ora di qualche caso concreto, per esempio, di un episodio che ha visto protagonista uno dei nostri esperti del team GReAT, Dmitry Bestuzhev.
All’interno dei tablet gratuiti di un hotel, @dmitribest ha trovato un sacco di dati personali appartenenti a vecchi clienti.
Tweet
Molti degli hotel mettono a disposizione dei clienti dei tablet che possono essere utilizzati gratuitamente (anche gli aeroporti e i ristoranti offrono servizi simili). Naturalmente i clienti li usano con piacere. Perché non utilizzare questo servizio per controllare Facebook, scaricare la posta elettronica, leggere su Google le ultime notizie o cercare le ultime novità su Play Store, oppure realizzare una video-conferenza o qualsiasi altra cosa che normalmente si fa su Internet in totale relax?
Dmitry si trovava in uno di questo genere di hotel quando nella sua stanza trova un iPad; lo accende ed inizia a vedere cosa contiene e… sorpresa: il tablet è strapieno di informazioni personali dei clienti che avevano alloggiato precedentemente in quella stanza. Non è necessario essere un ninja per ottenere i dati contenuti nell’iPad: vi si trovavano account con password memorizzate, sessioni di social network aperte, cronologia visibile (tra cui qualche sito porno, ovviamente), la lista completa dei contatti salvata automaticamente nella rubrica e persino l’accesso ad un sito dove verificare lo stato della gravidanza.
Non è stato difficile capire di chi erano i dati dato che la persona in question aveva lasciato le sue informazioni di contatto personali nel dispositivo. La maggior parte delle sessioni erano aperte; uno potrebbe pubblicare o inviare un messaggio spacciandosi per la persona in questione. Provate a immaginare la vostra faccia nello scoprire che qualche simpaticone ha inviato mail sconvenienti al vostro capo o ai vostri colleghi di lavoro.
Dmitry ha iniziato dunque a naviagare su Google e ha scoperto che alcuni dei precedenti ospiti erano personalità pubbliche di una certa importanza che lavoravano per il governo. Se qualcuno prima di Dimitry ha usato le informazioni aziendali di queste persone, si potrebbe dare il caso di un vero e propria fuga di dati.
È facile portare a terminare un piano di questo tipo. Un criminale potrebbe entrare nella stanza di un hotel e installare un’app di tracking per tracciare le password della vittima e altre informazioni. Dopodiche il ladro non ha che l’imbarazzo della scelta: ricattare la vittima, pubblicare foto compromettenti della vittima su di una pagina web (ricordate quello che è successo a Jennifer Lawrence?), scaricare file musicali da iTunes a vostre spese e via dicendo.
Morale della favola: fate sempre molta attenzione. Per mantenere i vostri dati personali al sicuro, seguite alcune semplici regole: 1) usate sempre una password forte; 2) collegatevi solo a reti Wi-Fi sicure e affidabili; 3) quando state maneggiando informazioni sensibili, usate esclusivamente i vostri dispositivi personali (oggigiorno significa sempre). Naturalmente i dispositivi pubblici sono una pessima scelta: non usateli mai.
How to remember strong, unique passwords https://t.co/wUk4D4vw4f pic.twitter.com/C9K2ZMjQwS
— Eugene Kaspersky (@e_kaspersky) 20 октября 2014