L’ennesima legge fatta male con la scusa della sicurezza.

by Carmine Bussone

In Australia potrebbe essere approvata una legge che consentirebbe alle forze dell’ordine di ordinare il sequestro di informazioni criptate detenute dalle aziende.

In poche parole: se sei un’azienda o uno sviluppatore che ha la possibilità di leggere informazioni criptate a te indirizzate o hai la capacità di decriptare le informazioni che arrivano alle tue piattaforme localizzate in Australia, potresti essere costretto a consegnare tali informazioni alla polizia. Pena multe molto salate o addirittura la galera.

Non è difficile immaginare le conseguenze, sia per la riservatezza che per le aziende che utilizzano crittografia e che si troveranno ad essere molto meno appetibili.

There’s no end to the damage this law could do if there’s even a single corrupt judge, law enforcement agent, or politician on the Australian continent. [Link]

j j j

Un altro bug di Google+

by Matteo Scandolin

Qualche mese fa venne fuori che un bug di Google+ aveva lasciato accessibili i dati privati di mezzo milione di utenti. (Contestualmente, veniva annunciata la fine di Google+.)

Oggi vien fuori un bug che ha reso disponibili i dati di 52 milioni di utenti. Cinquantadue milioni.

The programming interface bug allowed developers to access names, ages, email addresses, occupations, and a wealth of other personal details even when they were set to be nonpublic. [link]

Contestualmente, ha anticipato di qualche mese la chiusura di Google+.

On Monday, Google said it planned to expedite the closure from August 2019 to April.

Sarebbe da riderci sopra, se non fosse atroce.

j j j

Trapelate 250 pagine di documenti riservati di Facebook

by Francesca Balestrieri

Nell’internet sono state appena rilasciate ben 250 pagine di documenti riservati (e scottanti) di Facebook, il cui contenuto si può riassumere in sei punti:

—Facebook “whitelisted” certain companies, meaning that they still had full access to users’ friends’ data after platform changes in 2014-15, including Airbnb, Netflix, and Badoo. “It is not clear that there was any user consent for this, nor how Facebook decided which companies should be whitelisted or not,” said Damian Collins, a member of Parliament and committee chair.

—Facebook aggressively tried to shut down the competition. When Twitter launched the six-second-video-clip platform Vine, Zuckerberg approved revoking its access to Facebook’s API.

—Friends’ data has been a big source of revenue for Facebook, thanks to growing revenues from app developers. The idea of tying access to this data to the developer’s relationship with Facebook is a recurring feature throughout the documents.

—Mark Zuckerberg wanted “full reciprocity” between Facebook and app developers: you share all your data on users with us, and we’ll share all of ours with you.

—Facebook found ways to access users’ call history without alerting them, in order to make “People You May Know” suggestions and tweak news-feed rankings. Facebook planned to make it as hard as possible for users to know that this was happening.

—Facebook used Onavo (an Israeli analytics company it bought in 2013) to check customers’ usage of mobile apps without their knowledge. They used this to find out how many people had downloaded apps and how often they used them. This information was used to suss out potential companies to acquire.

j j j

Smantellato un giro di supporto fraudolento per Windows

by Matteo Scandolin

Più di 50 persone arrestate a Delhi, accusate di partecipare a un giro di supporto telefonico fraudolento, che ha fruttato intorno al miliardo e mezzo di dollari millantando problemi ai PC delle vittime, ignare.

Typically, said Microsoft, attempts to trick people revolved around pop-up warnings that falsely claimed that a person’s computer was infected with a virus.

Fixing the non-existent virus could involve ringing a tech support centre. An operator would talk a victim through a fake fix and then charge them for the work. [link]

j j j

La storia di Bloomberg sull’hacking cinese continua a non convincere

by Matteo Scandolin

Nelle settimane passate non è saltata fuori una prova che sia una a sostegno della loro inchiesta. Nel frattempo, dopo i comunicati stampa che negavano dettagliatamente le accuse, Apple e Amazon hanno pubblicamente chiesto a Bloomberg di rimangiarsi l’articolo.

“There is no truth in their story about Apple,” Cook told BuzzFeed News in a phone interview. “They need to do the right thing and retract it.”

This is an extraordinary statement from Cook and Apple. The company has never previously publicly (though it may have done so privately) called for the retraction of a news story — even in cases where the stories have had major errors or were demonstratively false, such as a This American Life episode that was shown to be fabricated. [link]

Il capo del servizio web di Amazon, AWS, appoggia la posizione di Cook e via Twitter sostiene che

[Tim Cook] is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract. [link]

Una cosa così non l’avevo ancora mai vista. Sul Washington Post un bell’articolo chiude così:

Bloomberg, on the other hand, gives readers virtually no road map for reproducing its scoop, which helps to explain why competitors have whiffed in their efforts to corroborate it. The relentlessness of the denials and doubts from companies and government officials obligate Bloomberg to add the sort of proof that will make believers of its skeptics. Assign more reporters to the story, re-interview sources, ask for photos and emails. Should it fail in this effort, it’ll need to retract the entire thing.

There’s just too much at stake here. Supermicro’s stock, for starters, took an Acapulco dive following publication of the Bloomberg investigation. It hasn’t much recovered, denials notwithstanding. The company tells the Erik Wemple Blog that it “only became aware of the specifics of these allegations when the article was published.”

So, Bloomberg has some options, none of which is standing pat and hoping that the next Trump scandal distracts the body politic. Your move, Bloomberg. [link]

j j j

Gli hacker han bucato Healthcare.gov

by Matteo Scandolin

E si son presi i file di 75mila persone. Il governo americano ha ammesso la breccia di sicurezza in un comunicato rilasciato il venerdì, il giorno prima del finesettimana. Dimmi tu.

A government system used by insurance agents and brokers to help customers sign up for healthcare plans was breached, allowing hackers to siphon off sensitive and personal data on 75,000 people.

The Centers for Medicare and Medicaid Services confirmed the breach in a late Friday announcement, but revealed few details about the contents of the files stolen. [link]

j j j

Un punto (temporaneo) sulla questione dell’hacking cinese

by Matteo Scandolin

Probabilmente l’avrete letto in giro, negli ultimi giorni: Bloomberg è venuta fuori con uno scoop notevolissimo, se confermato: un’operazione di hacking hardware condotta dall’intelligence cinese ai danni delle aziende di informatica di tutto il mondo, in particolare Apple e Amazon.

È abbastanza credibile, in realtà: visto il tipo di regime, obbligare le aziende che producono hardware ad accettare intrusioni simili (attraverso corruzione o minacce, è poco importante) è relativamente facile.

Bloomberg ha un sacco di fonti, ma tutte anonime: il problema è che le aziende principali, Apple e Amazon, hanno negato dettagliatamente le accuse. Addirittura il Dipartimento della sicurezza interna degli Stati Uniti ha dato ragione alle aziende in questione, assieme al Dipartimento della sicurezza interna del Regno Unito.

Il comunicato di Apple è poi incredibile. Di solito è un’azienda misurata, qui ha lasciato proprio la briglia sciolta:

The October 8, 2018 issue of Bloomberg Businessweek incorrectly reports that Apple found “malicious chips” in servers on its network in 2015. As Apple has repeatedly explained to Bloomberg reporters and editors over the past 12 months, there is no truth to these claims. [link]

Anche l’ultimo avvocato dell’azienda si è espresso in merito, in maniera piuttosto chiara e tirando in ballo l’FBI:

“I got on the phone with him personally and said, ‘Do you know anything about this?,” Sewell said of his conversation with Baker. “He said, ‘I’ve never heard of this, but give me 24 hours to make sure.’ He called me back 24 hours later and said ‘Nobody here knows what this story is about.’” [link]

Amazon non è da meno: il suo comunicato è firmato dal suo dirigente a capo della sicurezza informatica: una mossa che fai quando sei sicuro di non rimetterci la faccia:

At no time, past or present, have we ever found any issues relating to modified hardware or malicious chips in SuperMicro motherboards in any Elemental or Amazon systems. Nor have we engaged in an investigation with the government. [link]

Dal momento che la storia è verosimile, e che sicuramente ci sono stati tentativi simili, non mi sento di tacciarla del tutto di bufala: ma il fatto che le due grandi aziende coinvolte nel pezzo sono anche le due aziende che hanno superato il trilione di dollari di valore di mercato, la questione puzza.

(Il valore di mercato è probabilmente una delle cose che mi interessa di meno, di un’azienda. Ma sicuramente c’è gente, in giro, che può ricavare dei vantaggi – e manco pochi – a manipolare le informazioni su di loro.)

j j j

La privacy di Chrome

by Matteo Scandolin

Con l’ultima versione di Chrome (la 69) gli utenti che si collegano al proprio account Google si ritrovano anche all’interno di un account Chrome. Il che significa che se un utente vuole sfruttare cronologia o preferiti salvati sul proprio computer, e usarli su altri computer, fa il login e fila tutto liscio.

Il problema è che unendo utente di Chrome all’utenza di Google, Google ottiene automaticamente cronologia e altri dettagli della nostra vita online.

The issue is complex, but it revolves around how and when people choose to log in to the Chrome browser (which is different than logging in to Google services like Gmail). In past versions of the browser, this was a voluntary step. Doing so means users can sync information like bookmarks, passwords, and browsing history between devices, a feature Google calls “Chrome Sync.” It also means that their user data is stored on Google’s servers — something that some people are understandably unhappy about. [link]

j j j

Google ha modificato delle impostazioni di Android da remoto

by Matteo Scandolin

Niente di male, se fosse stato attraverso un aggiornamento di sistema. Il fatto è che la modifica è arrivata da remoto, cioè gli utenti si son visti cambiare le impostazioni di risparmio della batteria a caso, per lo più in situazioni dove la batteria non ne aveva bisogno. Molti hanno pensato a un bug, ma poi Google ha confermato che si è trattato di un errore.

The company posted a message on Reddit last night acknowledging “an internal experiment to test battery saving features that was mistakenly rolled out to more users than intended.” So Google had remotely — and accidentally — changed a phone setting for a bunch of real-world customers. Several staffers at The Verge experienced the issue. “We have now rolled battery saver settings back to default. Please configure to your liking,” the Pixel team wrote on Reddit before apologizing for the error. [link]

j j j

Non è solo Adware Doctor

by Matteo Scandolin

Pare che Trend Micro, famosissima software house nota per i suoi antivirus, abbia scazzato pesantemente: non era solo Adware Doctor a spedire i log di navigazione in Cina, ma anche altre app com Dr. Cleaner, Dr. Antivirus, Dr. Unarchiver.

Apple removed several anti-malware apps from its Mac App Store after the apps were found to export users’ browser histories. All of the apps in question are made by the cyber-security company Trend Micro, which initially denied the allegations but has since issued an apology to its users. [link]

j j j

Alleged Facebook scammer arrested in Ecuador after three years on the run

by Carmine Bussone

Qualche anno fa, tale Paul Ceglia accusò Mark Zuckerberg di aver firmato con lui un contratto per sviluppare del software e di non averlo mai onorato.

Quel contratto si rivelò poi falso, ma Ceglia restò noto come The Facebook Scammer.

Oggi, dopo una serie di fughe dagli arresti e dalle carceri, è in Ecuador a sperare che non ci si mettano d’impegno a farlo restare in qualche cella.

An opportunity presented itself, so I MacGyver’d some things together and started running for my life. [link]

j j j

Spyware made in Facebook, ma non più su iOS

by Matteo Scandolin

Apple ha rimosso dall’App Store Onavo, la VPN di Facebook. (Senti come già suona un controsenso, questa frase: VPN di Facebook?)

Onavo, a free VPN, promised to “keep you and your data safe when you browse and share information on the web,” but the app’s real purpose was tracking user activity across multiple different apps to learn insights about how Facebook customers use third-party apps.

Whenever a person using Onavo opens up an app or website, traffic is redirected to Facebook’s servers, which log the action in a database to allow Facebook to draw conclusions about app usage from aggregated data. [link]

j j j

I dati che Google raccoglie

by Matteo Scandolin

Una ricerca abbastanza agghiacciante.

Tanto per dire:

A dormant, stationary Android phone (with the Chrome browser active in the background) communicated location information to Google 340 times during a 24-hour period, or at an average of 14 data communications per hour. In fact, location information constituted 35 percent of all the data samples sent to Google. [link]

j j j

#BreakingMyTwitter, spiegato bene

by Matteo Scandolin

Sarah Perez ha fatto un bellissimo pezzo su TechCrunch sui cambiamenti di Twitter per le app terze parti. Leggi, ché c’è dentro tutto.

Inizia così:

It’s hard to be a fan of Twitter right now. The company is sticking up for conspiracy theorist Alex Jones, when nearly all other platforms have given him the boot, it’s overrun with bots, and now it’s breaking users’ favorite third-party Twitter clients like Tweetbot and Twitterific by shutting off APIs these apps relied on. Worse still, is that Twitter isn’t taking full responsibility for its decisions. [link]

(Chiedo scusa agli amici del Post per il titolo.)

j j j

Un incubo di privacy e sicurezza

by Matteo Scandolin

L’app per pagamenti Venmo è un bel colabrodo: se sai come fare, e non ci vuole tanto, puoi vedere tutte le transazioni di tutti gli utenti. Transazioni, messaggi interni, tutto – tranne le somme.

Anyone can track a Venmo user’s purchase history and glean a detailed profile – including their drug deals, eating habits and arguments – because the payment app lacks default privacy protections.

The default state for transactions when a user signs up to the app is “public”, which means they can be seen by anyone on the internet. Users can change this to “private” by navigating to the app’s settings, but it’s not clearly highlighted during sign-up. [link]

j j j

Tra i tanti motivi per cui non usare Facebook per le comunicazioni personali

by Matteo Scandolin

C’è anche questa bella novità:

Facebook found a new place to sell video ads: Inside Messenger, where some users will start to see autoplay video ads appear in their inbox right next to messages from friends and family. [link]

È da tempo che ogni volta che vedo che qualcuno a me vicino intrattenere comunicazioni importanti (di qualsiasi tipo: d’amore, di lavoro, d’affetti) attraverso Facebook, mi parte il rantolo sulla privacy: ma temo che non serva. Né il rantolo, né, a conti fatti, neanche questo post.

j j j

Google dice di no al Pentagono

by Carmine Bussone

Leaked Emails Show Google Expected Lucrative Military Drone AI Work to Grow Exponentially

Dopo la rivelazione del fatto che Google stesse lavorando con il Pentagono per fornire ai droni i suoi moduli di AI, alcuni impiegati hanno rassegnato le dimissioni e altri hanno creato una petizione chiedendo che il contratto venisse dismesso.

Oltre che per il malcontento, subodorando la pubblicità negativa per l’azienda e per Cloud AI (un progetto su cui Google sta investendo tantissimo) l’azienda ha deciso di tirarsi fuori.

“I don’t know what would happen if the media starts picking up a theme that Google is secretly building AI weapons or AI technologies to enable weapons for the Defense industry,” she continued. “Google Cloud has been building our theme on Democratizing AI in 2017, and Diane and I have been talking about Humanistic AI for enterprise. I’d be super careful to protect these very positive images.”

j j j