C’è un problema di Azure e molti utenti Office sono bloccati

Uno dei vari prodotti di Microsoft è un sistema di sicurezza multilivello, che consente di tenere al sicuro i propri account utilizzando un ulteriore login attraverso Azure. Che oggi è nel pallone, e un mucchio di utenti di Office 365 sono impossibilitati a entrare nei propri account.

Microsoft’s cloud-based multi-factor authentication services went down across the globe early Monday morning, preventing users who are required to sign in using a second layer of authentication to their account, such as a text message, a push notification on their phone, or a hardware key. You hit the password page, and then you’re stuck — no code, no notification, nothing. [link]

Fare le pulizie e la privacy

Google e iRobot, l’azienda di accrocchi automatici che puliscono i pavimenti da soli, hanno stretto una partenership: sostengono di voler rendere le tecnologie per la casa ancora più intelligenti e complete, utilizzando i dati degli aspirapolveri automatici che, volenti o nolenti, stanno mappando le nostre case.

[Director of Google smart home ecosystem] Michelle Turner stressed that any spatial information shared by iRobot would not be used in Google’s lucrative ad-targeting business. “This data doesn’t help current Google products,” says Turner. “This data is not getting fed into some larger morass of Google information.” [link]

E noi ci crediamo.

La storia di Bloomberg sull’hacking cinese continua a non convincere

Nelle settimane passate non è saltata fuori una prova che sia una a sostegno della loro inchiesta. Nel frattempo, dopo i comunicati stampa che negavano dettagliatamente le accuse, Apple e Amazon hanno pubblicamente chiesto a Bloomberg di rimangiarsi l’articolo.

“There is no truth in their story about Apple,” Cook told BuzzFeed News in a phone interview. “They need to do the right thing and retract it.”

This is an extraordinary statement from Cook and Apple. The company has never previously publicly (though it may have done so privately) called for the retraction of a news story — even in cases where the stories have had major errors or were demonstratively false, such as a This American Life episode that was shown to be fabricated. [link]

Il capo del servizio web di Amazon, AWS, appoggia la posizione di Cook e via Twitter sostiene che

[Tim Cook] is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract. [link]

Una cosa così non l’avevo ancora mai vista. Sul Washington Post un bell’articolo chiude così:

Bloomberg, on the other hand, gives readers virtually no road map for reproducing its scoop, which helps to explain why competitors have whiffed in their efforts to corroborate it. The relentlessness of the denials and doubts from companies and government officials obligate Bloomberg to add the sort of proof that will make believers of its skeptics. Assign more reporters to the story, re-interview sources, ask for photos and emails. Should it fail in this effort, it’ll need to retract the entire thing.

There’s just too much at stake here. Supermicro’s stock, for starters, took an Acapulco dive following publication of the Bloomberg investigation. It hasn’t much recovered, denials notwithstanding. The company tells the Erik Wemple Blog that it “only became aware of the specifics of these allegations when the article was published.”

So, Bloomberg has some options, none of which is standing pat and hoping that the next Trump scandal distracts the body politic. Your move, Bloomberg. [link]

Gli hacker han bucato Healthcare.gov

E si son presi i file di 75mila persone. Il governo americano ha ammesso la breccia di sicurezza in un comunicato rilasciato il venerdì, il giorno prima del finesettimana. Dimmi tu.

A government system used by insurance agents and brokers to help customers sign up for healthcare plans was breached, allowing hackers to siphon off sensitive and personal data on 75,000 people.

The Centers for Medicare and Medicaid Services confirmed the breach in a late Friday announcement, but revealed few details about the contents of the files stolen. [link]

Un punto (temporaneo) sulla questione dell’hacking cinese

Probabilmente l’avrete letto in giro, negli ultimi giorni: Bloomberg è venuta fuori con uno scoop notevolissimo, se confermato: un’operazione di hacking hardware condotta dall’intelligence cinese ai danni delle aziende di informatica di tutto il mondo, in particolare Apple e Amazon.

È abbastanza credibile, in realtà: visto il tipo di regime, obbligare le aziende che producono hardware ad accettare intrusioni simili (attraverso corruzione o minacce, è poco importante) è relativamente facile.

Bloomberg ha un sacco di fonti, ma tutte anonime: il problema è che le aziende principali, Apple e Amazon, hanno negato dettagliatamente le accuse. Addirittura il Dipartimento della sicurezza interna degli Stati Uniti ha dato ragione alle aziende in questione, assieme al Dipartimento della sicurezza interna del Regno Unito.

Il comunicato di Apple è poi incredibile. Di solito è un’azienda misurata, qui ha lasciato proprio la briglia sciolta:

The October 8, 2018 issue of Bloomberg Businessweek incorrectly reports that Apple found “malicious chips” in servers on its network in 2015. As Apple has repeatedly explained to Bloomberg reporters and editors over the past 12 months, there is no truth to these claims. [link]

Anche l’ultimo avvocato dell’azienda si è espresso in merito, in maniera piuttosto chiara e tirando in ballo l’FBI:

“I got on the phone with him personally and said, ‘Do you know anything about this?,” Sewell said of his conversation with Baker. “He said, ‘I’ve never heard of this, but give me 24 hours to make sure.’ He called me back 24 hours later and said ‘Nobody here knows what this story is about.’” [link]

Amazon non è da meno: il suo comunicato è firmato dal suo dirigente a capo della sicurezza informatica: una mossa che fai quando sei sicuro di non rimetterci la faccia:

At no time, past or present, have we ever found any issues relating to modified hardware or malicious chips in SuperMicro motherboards in any Elemental or Amazon systems. Nor have we engaged in an investigation with the government. [link]

Dal momento che la storia è verosimile, e che sicuramente ci sono stati tentativi simili, non mi sento di tacciarla del tutto di bufala: ma il fatto che le due grandi aziende coinvolte nel pezzo sono anche le due aziende che hanno superato il trilione di dollari di valore di mercato, la questione puzza.

(Il valore di mercato è probabilmente una delle cose che mi interessa di meno, di un’azienda. Ma sicuramente c’è gente, in giro, che può ricavare dei vantaggi – e manco pochi – a manipolare le informazioni su di loro.)

Trump signs controversial FOSTA-SESTA bill into law

Trump signs controversial FOSTA-SESTA bill into law

Giovedì scorso il Presidente Trump ha firmato il progetto di legge conosciuto come SESTA-FOSTA (abbreviazione di Stop Enabling Sex Traffickers Act and Allow States and Victims to Fight Online Sex Trafficking Act).

In breve, viene introdotta la responsabilità penale per tutte le piattaforme web che ospitano contenuti che favoriscono, assistono o supportano le attività di prostituzione.

Per evitare problemi, Craigslist ha addirittura eliminato la sezione di annunci personali prima ancora che la legge fosse approvata.

Oltre a importanti conseguenze per la privacy e per la censura che potrebbero operare delle piattaforme sui propri contenuti, c’è anche l’aspetto della compromissione della sicurezza dei sex-worker che utilizzano quei siti web e che potrebbero ricorrere a mezzi meno adatti per continuare a esercitare.