Have I Been Pwned open source

Networking

Have I Been Pwned diventa open source. Senza dati

Alfonso Maruccia | 10 Agosto 2020

Privacy Servizi Web Sicurezza

Il sito Have I Been Pwned si avvia a essere un progetto open source. Il codice sorgente sarà gestito dalla community, ma le credenziali di accesso compromesse seguiranno un destino diverso.

Troy Hunt ha di recente annunciato un’importante transizione per Have I Been Pwned (HIBP), servizio dedicato alla raccolta di credenziali di accesso compromesse utilizzato da milioni di utenti per verificare la sicurezza delle rispettive caselle e-mail. HIBP diventerà un progetto open source, ha detto Hunt, così da permettere alla community di occuparsi della sua gestione anche nel caso in cui il creatore originale non fosse più in circolazione.

Nello spiegare la decisione che lo ha portato allo switch FOSS di HIBP, l’esperto australiano di web security ha parlato di un precedente tentativo di vendita del progetto che non è andato in porto. Hunt pensa da tempo a come dovrebbe evolvere il progetto, a come preparare un futuro sostenibile per HIBP senza che lui continui a essere il solo responsabile di tutto.

Breccia di Sicurezza

La filosofia di Have I Been Pwned è sempre stata quella di sostenere la community, ha spiegato Hunt, e ora è giunto il momento che la community sostenga a sua volta HIBP. La distribuzione del codice sorgente del servizio tramite licenza open source è la strada più logica per avviare la transizione, così da permettere agli sviluppatori esterni di aiutare a tenere in piedi il servizio indipendentemente dalle circostanze personali di Hunt.

Se il passaggio del codice sorgente del sito a una licenza FOSS non dovrebbe provocare grossi problemi, la situazione cambia radicalmente per i 10 miliardi di credenziali di accesso presenti nel database retrostante. In questo caso Hunt vuole approntare controlli di sicurezza in grado di preservare la privacy di tutti gli utenti coinvolti. Una cosa “fattibile” ma non banale, concede l’esperto.

DHS Cina USA

Security

Il DHS alle aziende USA: l’hi-tech cinese pericoloso per business e dati

Alfonso Maruccia | 24 Dicembre 2020

Donald Trump Privacy Sicurezza

Le autorità statunitensi del DHS lanciano l’allarme nei confronti delle aziende a stelle e strisce. L’uso dei prodotti hi-tech cinesi è pericoloso, ed è meglio informarsi per contrastare i rischi.

L’attacco contro SolarWinds evidenzia l’estrema pericolosità dei cyber-guastatori russi, ma finché Donald Trump resterà alla Casa Bianca l’“amico Putin” ha ben poco di cui preoccuparsi. I cinesi, invece, continuano a essere il bersaglio prediletto dell’Amministrazione Trumpiana, e un nuovo rapporto del DHS vuole evidenziare i rischi connessi all’uso dei dispositivi realizzati nel paese asiatico da parte delle aziende USA.

L’allarme del Department of Homeland Security (DHS), dipartimento federale equivalente del Ministero dell’Interno italiano, è indirizzato specificatamente ai business statunitensi che usano (o vorrebbero usare) prodotti hi-tech realizzati da aziende collegate al governo cinese. La Repubblica Popolare Cinese rappresenta un grave rischio alla sicurezza dei dati per il governo e i business USA, dice il DHS, perché Pechino ha “sia l’intento che l’abilità” di accedere direttamente alle informazioni grazie a framework legali vecchi e nuovi oltre che alla collaborazione diretta dei marchi cinesi.

USA vs Cina

Il rapporto del DHS cita in particolare la legge cinese sull’intelligence nazionale in vigore dal 2017, norma che obbliga tutte le aziende cinesi a supportare, assistere e cooperare con i servizi di intelligence di Pechino. Una nuova legge sulla sicurezza dei dati, la cui entrata in vigore è prevista per il 2021, rende ancora più grave la situazione fornendo alla dittatura comunista nuovi strumenti di sorveglianza e controllo sui business stranieri.

Usando dispositivi e soluzioni tecnologiche progettati e venduti da aziende cinesi, avverte il DHS, le attività imprenditoriali statunitensi espongono se stesse e i loro clienti al furto di segreti industriali, violazione delle leggi USA sull’esportazione e la privacy, rottura dei termini contrattuali, sorveglianza, tracciamento dei critici del regime, pericoli per la reputazione aziendale.

Persino l’utilizzo delle app mobile e dei braccialetti per il fitness, avverte il DHS, rappresenta un grave rischio alla sicurezza e alla privacy visto che dà al Partito Comunista Cinese l’opportunità di raccogliere i dati geolocalizzati, incrociare i dati con i registri contabili sulle proprietà e infine identificare i nomi e le famiglie dei cittadini americani. E lo spionaggio russo? E la sorveglianza ben documentata a opera della NSA statunitense? Niente, sarà per la prossima volta.

TikTok

App

TikTok, Garante della privacy avvia un procedimento

Luca Colantuoni | 22 Dicembre 2020

Privacy

Il Garante per la protezione dei dati personali ha avviato un procedimento formale contro TikTok per violazione della normativa sulla privacy dei minori.

Il Garante per la protezione dei dati personali ha avviato un procedimento contro TikTok. Il popolare social network viene ritenuto responsabile di quattro violazioni: scarsa attenzione alla tutela dei minori, divieto di iscrizione ai più piccoli facilmente aggirabile, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non rispettose della privacy.

TikTok è diventato molto popolare tra i giovanissimi, nonostante il divieto di iscrizione ai minori di 13 anni. Il Garante afferma che questo vincolo è facilmente aggirabile, inserendo una data di nascita falsa. L’azienda cinese non rispetta quindi la normativa italiana sulla privacy, in base alla quale è obbligatorio ricevere il consenso autorizzato dei genitori per gli utenti con età inferiore ai 14 anni.

Il Garante evidenzia inoltre che

L’informativa rilasciata agli utenti è standardizzata e non prende in specifica considerazione la situazione dei minori, mentre sarebbe necessario creare una apposita sezione dedicata ai più piccoli, scritta con un linguaggio più semplice e con meccanismi di alert che segnalino i rischi ai quali si espongono.

Il social network imposta il profilo dell’utente come pubblico, senza consentire la scelta al momento dell’iscrizione (opt-in), quindi in contrasto con la normativa sulla protezione dei dati personali. TikTok conserva inoltre i dati per un tempo indefinito rispetto agli scopi per i quali sono raccolti, non indica le modalità di anonimizzazione e non specifica i paesi extra UE verso i quali vengono trasferiti i dati.

Nonostante le problematiche siano oggetto di discussione del comitato che riunisce le autorità europee, il Garante ha comunque deciso di avviare un’istruttoria nel mese di marzo. TikTok avrà ora 30 giorni per inviare memorie difensive e chiedere di essere ascoltata. L’azienda è al centro di uno scontro tra Stati Uniti e Cina, il cui esito è ancora ignoto.

Facebook

App

Direttiva ePrivacy, Facebook disattiva alcune funzionalità

Luca Colantuoni | 22 Dicembre 2020

Facebook Privacy

Facebook ha dovuto disattivare alcune funzionalità delle sue app per rispettare le nuove regole sulla privacy in vigore nei paesi europei.

Da ieri sono entrate in vigore le nuove regole per i servizi di messaggistica previsti dalla direttiva ePrivacy emanata dall’Europa. L’azienda di Menlo Park ha quindi comunicato che alcune funzionalità non saranno più disponibili in Facebook, Messenger e Instagram. In realtà questa novità era stata già notata dagli utenti qualche giorno fa.

Le nuove regole europee per la privacy impongono diversi limiti all’uso dei dati da parte dei servizi digitali. Google, ad esempio, ha iniziato a mostrare un avviso che permette di disattivare le funzionalità smart di Gmail (basate sui contenuti delle email). Gli utenti che usano le app Facebook, Messenger e Instagram vedranno invece un avviso del genere:

Alcune funzionalità non sono disponibili. Questo è per rispettare le nuove regole per i servizi di messaggistica in Europa. Stiamo lavorando per ripristinarle.

L’azienda di Menlo Park dovrà quindi modificare i servizi. Nessun problema invece per le funzionalità principali. Non c’è un elenco dettagliato delle funzionalità disattivate. Facebook ha solo citato i sondaggi (presenti in Messenger e Instagram), in quanto richiedono l’accesso ai contenuti dei messaggi. La novità non riguarda solo gli utenti europei, ma anche quelli che contattano gli utenti europei.

La direttiva ePrivacy ha tuttavia causato un pericoloso effetto collaterale. L’impossibilità di leggere i messaggi ha infatti bloccato il funzionamento dei tool automatici che rilevano contenuti illegali, come materiali di pedopornografia. Facebook sottolinea che “la Commissione Europea ha dichiarato che la direttiva non fornisce una base legale per questi tool“. Il Consiglio dell’Unione Europea aveva chiesto di non applicare le nuove regole ai tool, ma la soluzione non è stata trovata.

La direttiva ePrivacy non si applica a WhatsApp, in quanto la crittografia end-to-end impedisce la lettura dei messaggi.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.