{"id":22121,"date":"2020-07-01T13:08:10","date_gmt":"2020-07-01T11:08:10","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22121"},"modified":"2020-07-01T13:10:27","modified_gmt":"2020-07-01T11:10:27","slug":"unusual-ways-to-leak-info","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/unusual-ways-to-leak-info\/22121\/","title":{"rendered":"Fughe di dati aziendali: 4 casi insoliti che fanno riflettere"},"content":{"rendered":"

Se pubblicate le foto dei biglietti dei concerti su Instagram senza nascondere il codice a barre, qualcuno potrebbe vedere la vostra band preferita al posto vostro<\/a>. Lo stesso pu\u00f2 accadere anche se nascondete il codice a barre, ma con lo strumento sbagliato<\/a>.<\/p>\n

Detto questo, ricordarsi di nascondere correttamente il codice a barre prima di vantarsi dei biglietti non \u00e8 cos\u00ec difficile. La cosa cambia quando si pubblica una foto online senza notare un biglietto o, diciamo, un post \u2013 it con delle password che spuntano accidentalmente dall\u2019inquadratura. Passiamo a rassegna alcuni casi in cui sono stati pubblicati involontariamente dei dati riservati online.<\/p>\n

1. Pubblicazione di foto con una password sullo sfondo<\/h2>\n

Foto e video scattate negli uffici e in altre strutture rivelano password e segreti pi\u00f9 spesso di quanto si possa pensare. Quando si scattano foto di colleghi, poche persone prestano attenzione allo sfondo e il risultato pu\u00f2 essere imbarazzante o addirittura pericoloso.<\/p>\n

(Mancanza di) intelligence militare<\/h3>\n

Nel 2012, la Royal Air Force britannica l\u2019ha combinata grossa<\/a>. Oltre a un reportage fotografico sul Principe William, che allora prestava servizio in un\u2019unit\u00e0 della RAF, sono stati resi pubblici i dati di accesso al MilFLIP (pubblicazioni di informazioni di volo militari). Un nome utente e una password su un pezzo di carta adornavano il muro dietro al Duca di Cambridge.<\/p>\n

Poco dopo la pubblicazione delle foto sul sito ufficiale della famiglia reale, le immagini sono state sostituite con versioni ritoccate e le credenziali di accesso rivelate sono state modificate. Non sappiano se le nuove password siano finite di nuovo sulla parete.<\/p>\n

\"\"

Credenziali di accesso MilFLIP come decorazione d\u2019interni. Fonte<\/a><\/p><\/div>\n

L\u2019incidente del principe William non \u00e8 certo l\u2019unico. Anche i militari meno conosciuti condividono segreti online, con e senza l\u2019aiuto della stampa. Per esempio, un ufficiale ha pubblicato un selfie su un social network<\/a>\u00a0 e sullo sfondo c\u2019era uno schermo su cui erano visibili informazioni segrete. Il militare se l\u2019\u00e8 cavata con \u201crieducazione e addestramento\u201d.<\/p>\n

Fughe di dati in diretta televisiva<\/h3>\n

Nel 2015, la compagnia televisiva francese TV5Monde \u00e8 stata vittima di un attacco informatico. Individui non identificati hanno hackerato e defacciato il sito web e la pagina Facebook dell\u2019azienda<\/a> e hanno interrotto le trasmissioni per diverse ore.<\/p>\n

Gli eventi successivi hanno trasformato la storia in una farsa. Un dipendente di TV5Monde ha rilasciato un\u2019intervista sull\u2019attacco e sullo sfondo si trovavano in bella vista le password<\/a> di accesso ai profili social dell\u2019emittente. Nelle immagini il testo \u00e8 difficile da leggere, ma alcuni appassionati sono riusciti a ottenere la password dell\u2019account YouTube di TV5Monde.<\/p>\n

Casualmente, questo aneddoto \u00e8 stata anche una lezione su come non creare una password: la frase segreta in questione si \u00e8 rivelata essere \u201clemotdepassedeyoutube\u201d, che, tradotto dal francese, \u00e8 letteralmente \u201cpassworddiyoutube\u201d. Fortunatamente, l\u2019account YouTube e gli altri account dell\u2019azienda ne sono usciti indenni. Tuttavia, questa storia della password fornisce alcuni spunti di riflessione sull\u2019attacco informatico iniziale.<\/p>\n

\"\"

Il dipendente di TV5Monde rilascia un\u2019intervista con una password sullo sfondo. Fonte<\/a><\/p><\/div>\n

Un incidente simile si \u00e8 verificato poco prima della 48esima edizione del Super Bowl, nel 2014, quando le credenziali di accesso alla rete Wi-Fi dello stadio<\/a> sono passate per l\u2019obiettivo di un cameraman televisivo. Ironia della sorte, il filmato \u00e8 stato girato nel centro di comando responsabile della sicurezza dell\u2019evento.<\/p>\n

\"\"

Credenziali di accesso Wi-Fi visualizzate su uno schermo nel centro di comando dello stadio. Fonte<\/a><\/p><\/div>\n

2. Fitness tracker<\/h2>\n

I dispositivi che si usano per monitorare il vostro stato di salute potrebbero benissimo permettere a qualcun altro di monitorarvi<\/a><\/em>, e persino di ottenere dati riservati<\/a> come il codice PIN della carta di credito analizzando i movimenti della mano. \u00c8 vero, quest\u2019ultimo scenario potrebbe sembrare poco realistico.<\/p>\n

Tuttavia, le fughe di dati sull\u2019ubicazione distrutture segrete, purtroppo, sono vere. Ad esempio, l\u2019applicazione fitness Strava, che annovera oltre 10 milioni di utenti, segna i percorsi di jogging degli utenti su una mappa pubblica<\/a>. E ha mostrato anche l\u2019ubicazione di alcune basi militari<\/a>.<\/p>\n

Anche se l\u2019app pu\u00f2 essere configurata per nascondere i percorsi a occhi indiscreti, non tutti gli utenti in uniforme, a quanto pare, sono esperti di tali tecnicismi.<\/p>\n

\"\"

Movimenti dei soldati in una base militare statunitense in Afghanistan mostrati dalla mappa Strava heat. Fonte<\/a><\/p><\/div>\n

A proposito di minacce di nuove fughe di notizie, nel 2018 il Pentagono ha semplicemente vietato ai soldati americani in servizio<\/a> di utilizzare i tracker per il fitness. Certo, per coloro che non trascorrono le proprie giornate in basi militari statunitensi, questa soluzione potrebbe sembrare esagerata. In ogni caso, vi consigliamo di prendervi il tempo necessario per configurare le impostazioni della privacy nella vostra app per il fitness.<\/p>\n

3. Trasmissione di metadati<\/h2>\n

\u00c8 molto facile dimenticare (o non sapere affatto) che i segreti a volte possono essere nascosti in informazioni sui file, detti anche metadati<\/a>. In particolare, le fotografie spesso contengono le coordinate<\/a> del luogo in cui sono state scattate.<\/p>\n

Nel 2007, alcuni soldati americani (sembra che qui si stia sviluppando uno schema) hanno pubblicato foto online di elicotteri<\/a> che arrivavano in una base in Iraq. I metadati delle immagini contenevano le coordinate esatte del luogo. Secondo una versione degli eventi, le informazioni sono state successivamente utilizzate in un attacco nemico che \u00e8 costato agli Stati Uniti quattro elicotteri.<\/p>\n

4. Condivisione eccessiva sui social media<\/h2>\n

Si possono conoscere alcuni segreti semplicemente studiando gli amici di una persona. Ad esempio, se i venditori di una particolare regione iniziano improvvisamente a comparire<\/a> nell\u2019elenco degli amici di un manager di un\u2019azienda, la concorrenza pu\u00f2 dedurre che la compagnia e \u00e8 alla ricerca di nuovi mercati e sta cercando di approfittarne.<\/p>\n

Nel 2011, la giornalista di Computerworld<\/em> Sharon Machlis ha condotto un esperimento<\/a> raccogliendo informazioni da LinkedIn. In soli 20 minuti di ricerca sul sito, ha scoperto il numero dei moderatori dei forum online di Apple, la configurazione dell\u2019infrastruttura delle risorse umane dell\u2019azienda e altro ancora.<\/p>\n

Come l\u2019autrice ammette, non si \u00e8 imbattuta in segreti commerciali o simili, tuttavia Apple \u00e8 orgogliosa di prendere maggiormanete sul serio la privacy di quanto facciano di media altre aziende. Nel frattempo, dai compiti professionali di un vicepresidente di HP, ancora una volta elencati su LinkedIn, chiunque poteva scoprire<\/a> su quali servizi cloud stesse lavorando l\u2019azienda.<\/p>\n

Come evitare la divulgazione involontaria dei dati<\/h2>\n

I dipendenti possono condividere inconsapevolmente molti dettagli sulla vostra azienda. Per evitare che certi segreti diventino di dominio pubblico, stabilite regole severe per la pubblicazione di informazioni online e informate tutti i colleghi:<\/p>\n