cybersecurity

Facebook e Google: sanzioni per 210 milioni di euro in Francia

by

CNIL (autorità di controllo “privacy” francese) in seguito a diverse segnalazioni e reclami che lamentavano la difficoltà nel rifiutare i coookie provenienti dal sito www.facebook.com, google.fr, youtube.com. Tra aprile e giugno 2021 l’autorità francese ha condotto delle indagini online, verificando che Facebook e Google offrivano all’utente la scelta di accettare tutti i cookie con un singolo “click” su un bottone ma non fornivano una modalità altrettanto semplice per rifiutare tutti i cookie, in violazione delle normative vigenti.

L’ammontare della sanzione e il fatto che questa sia stata pubblicata è motivato dalla finalità del trattamento dei dati tramite cookie, dal numero di persone coinvolte e i profitti rilevanti indirettamente generati dall’utilizzo dei dati raccolti tramite i cookie.

In aggiunta alla sanzione, la CNIL ha ingiunto a Facebook e Google di mettere a disposizione degli utenti un pulsante o un sistema altrettanto semplice per rifiutare tutti i cookie entro tre mesi dalla data della sanzione. In caso di mancato rispetto la commissione francese sanzionerà le compagine per ulteriori 100.000 euro al giorno per ogni giorno di ritardo.

(fonte: www.cnil.fr)

Ransomware, l’impatto degli attacchi in crescita

by

Secondo i report degli ultimi mesi gli attacchi ransomware stanno calando per quantità ed aumentando per impatto. I criminali informatici sono meno interessati agli attacchi indiscriminati con i quali possono puntare a richieste di riscatto di importo ridotto ma puntano sempre di più ad attacchi mirati ad enti studiati spesso a lungo in modo da sferrare attacchi rapidi e puntare a pagamenti rilevanti. Questa tendenza non è solo italiana (si veda anche il rapporto CLUSIT 2020) ma si trova in tutti i principali paesi. Nel sito bleepingcomputer.com, una delle più note testate online in materia di minacce e sicurezza informatica, nel report periodico “The Week in Ransomware” le segnalazioni dei principali attacchi del momento riguardano, come spesso negli ultimi mesi, Istituti Scolastici, Istituti Sanitari e aziende Hi Tech.

Sopra Steria, importante azienda francese di servizi IT, in una nota del 25 novembre ha affermato di attendersi tra 40 e 50 milioni di euro di perdite a causa di un attacco informatico in ottobre. Il sito afferma che l’attacco sia stato effettuato con il medesimo ceppo di ransomware che ha colpito UHS, un gigante della fornitura di servizi per strutture sanitarie con 90.000 dipendenti inserita nella Fortune 500 list. Alla fine di settembre, diversi ospedali in almeno cinque stati degli Stati Uniti sono rimasti senza accesso ai computer ed ai telefoni e sono stati costretti a ridistribuire i pazienti in arrivo e quelli in attesa di cure urgenti in altri ospedali vicini. I dipendenti hanno raccontato che tentando di accendere i computer, questi si spegnevano immediatamente da soli.

Il 28 novembre il costruttore di chip per automazioni industriali e IoT (compresi servizi sanitari) Advantech è stato colpito da un ransomware. I criminali hanno chiesto un riscatto di oltre 12 milioni di dollari per sbloccare i computer e rimuovere dai loro server i dati rubati. Come sempre in questi casi, anche pagando il riscatto non vi è alcuna certezza che i criminali vogliano o siano in grado di mantenere la parola data.

Oltre al danno per l’interruzione delle attività, al danno di immagine ed all’eventuale riscatto, non è immediatamente quantificabile il danno dovuto alla violazione dei dati personali e dei dati aziendali in questi casim, non sempre è chiaro quanti dati sono stati prelevati nel corso degli attacchi né si possono avere certezze su quello che intenderanno fare gli attaccanti con questi dati. Sempre più spesso i dati sottratti vengono rivenduti nel dark web.

Un aspetto sconcertante di questi attacchi è che, almeno nei primi due casi, autorevoli analisti affermano che siano nati da e-mail di phishing, attacchi spesso non irrestistibili contro i quali molte aziende fanno poco.

APP gratuite, i dati dei minori a rischio

by

La facilità di accesso alle applicazioni per smartphone e tablet, la loro gratuità ed i deboli controlli espongono gli utenti, specie i minori, a rischi evidenti. Un recente rapporto di Federprivacy evidenzia come su 500 applicazioni di giochi dedicate ai minori, il 93,8% contenga tracker che permettono la raccolta sistematica delle attività online degli utenti e quasi la metà effettuino operazioni di trattamento di dati in paesi non sicuri per la privacy. In più, l’87% delle software house produttrici non hanno un Data Protection Officer, quella figura di riferimento prevista dal GDPR ed obbligatoria nei casi in cui i trattamenti comprendano il monitoraggio degli interessati. La ricerca riguardava applicazioni presenti nel Play Store di Google, liberamente scaricabili e, nel 76% dei casi, indicate come “PEGI 3”, ovvero adatte a bambini dai 3 anni in poi. La quasi totalità delle app (454) contiene avvisi pubblicitari e, al contempo, tracker di profilazione in modo da proporre ai bambini pubblicità mirate in base alle loro preferenze, 459 su 500 contengono tracker di Google, 273 hanno tracker di Facebook, in casi residuali anche tracker di Amazon (5%) e di Microsoft (3%).

Il Garante italiano ha pubblicato una semplice guida per utilizzare le “App” con consapevolezza, proteggendo i propri dati. Si tratta di un insieme di abitudini che possono essere tenute presenti anche in casi più ampi, quando si forniscono i propri dati per qualsivoglia motivo.

  • quanti e quali dati vengono raccolti?
  • chi tratterà i dati e per quali finalità?
  • per quanto tempo verranno conservati i miei dati?
  • chi raccoglie i miei dati li può trasmettere ad altri? Per quale motivo?
  • Per il download di un’app devo registrarmi? In questo caso attenzione a fornire solo i dati strettamente necessari al servizio richiesto;
  • Se una app chiede l’accesso ai dati della memoria del mio telefono o alle immagini, o ai miei contatti, alla fotocamera, alla posizione ecc… mi devo chiedere perché. Se non trovo una risposta accettabile nell’informativa, meglio evitare l’installazione;
  • Porre particolare attenzione alle app che modificano le immagini come, ad esempio, invecchiare i volti, inserire la propria faccia su corpi altrui, trasformare un uomo in donna o viceversa: molte di queste applicazioni acquisiscono e salvano le nostre immagini che potrebbero essere usate da criminali per fini dannosi (vedi il fenomeno “deepfake”, la creazione di foto e video falsi a partire da immagini vere). Inoltre dai volti è possibile risalire a dati biometrici utilizzati a scopo di riconoscimento, dati che potrebbero essere ceduti o rubati (a questo LINK la infografica del Garante da tenere presente quando si decide di condividere le proprie immagini online).

Se si utilizzano app di dating è bene leggere attentamente come verranno trattate le informazioni ed a chi potranno essere trasmesse, il rischio è rendere noti aspetti della nostra vita privata che non desideriamo diffondere. Anche nel caso di app che monitorano le attività sportive è bene avere chiaro quali dati verranno trattati, quali condivisi con terzi, per quanto tempo verranno conservati e come potremo ottenerne la cancellazione. Tipicamente queste applicazioni registrano la posizione, il battito cardiaco, a volte permettono di inserire anche quello che mangiamo e di condividere il tutto con i nostri contatti o con tutti, diffondendo in questo modo informazioni che potrebbero essere usate contro di noi.

Ultimo pericolo, non meno importante, è la diffusione dei malware negli app store. Prendere un malware nel proprio smartphone, come nel proprio PC, può avere le conseguenze più varie ed imprevedibili. Per proteggersi (quantomeno nella maggiorparte dei casi) anche in questo caso si dovrebbero seguire alcune regole:

  • installare un software anti-malware (anche su tablet e smartphone);
  • utilizzare password di accesso sicure ed aggiornate periodicamente;
  • utilizzare un blocco schermo e non disattivare i sistemi di sicurezza previsti dal dispositivo;
  • non scaricare app da marketplace non ufficiali.

(fonti: www.federprivacy.org, www.gpdp.it)