Vi ruberanno i dati personali: alcune regole per ridurre i rischi

Se i dati riservati non sono più riservati

I data breach sono quasi all’ordine del giorno e spesso sono enormi. Compagnie aeree, catene alberghiere, banche, patronati, partiti politici, siti e-commerce. Basta tenere d’occhio questa pagina per avere un elenco assolutamente non esaustivo di quello che sta succedendo. Non è raro venire a conoscenza di un breach che ha esposto i dati personali di milioni di utenti, nei quali probabilmente ci sono anche i vostri.

Scendiamo a patti con la realtà

La realtà dei fatti, purtroppo, è che con i data breach dovremo imparare a convivere. La mia considerazione è informata dalle centinaia di data breach che in tutti questi anni di attività nel campo della cybersecurity ho avuto modo di vedere, alcuni dei quali – mio malgrado – hanno coinvolto anche i miei dati.

Non è rassegnazione, questa, ma una presa di coscienza fondamentale che dovrebbe coinvolgere tutti. È sufficiente riflettere su un semplice scenario: se conferite i vostri dati a 100 aziende, 99 di esse li trattano nella norma e con tutte le protezioni ma solo un’azienda commette un errore o – suo malgrado – subisce una violazione ai database, i vostri dati sono persi. E questo nonostante la maggioranza delle aziende li abbia trattati come si deve.

Per la nostra sicurezza quindi faremmo bene a considerare tutti i dati che inseriamo nei form online, ma anche quelli che riempiamo a penna in un modulo carteceo e che consegniamo a chiunque ce li abbia chiesti (dentista, Comune, negozio, scuola ecc.), come rubabili. Anzi, come potenzialmente già persi.

Una volta che il negozio online, lo studio medico, il nostro datore di lavoro hanno in mano informazioni personali che ci riguardano, non siamo più in grado di controllare come tali informazioni verranno trasferite e protette. Certo, alcune di queste organizzazioni sono soggette a leggi nazionali o sovranazionali che gli impongono di trattare i nostri dati con adeguata cura (pensiamo al GDPR), ma questo non impedisce a un dipendente disattento di lasciare aperto un database, o a un agguerrito gruppo di hacker di penetrare le difese dell’azienda per rubare il rubabile. A volte sottraggono dati personali che avevate consegnato molti anni prima, oppure dati che non avete mai condiviso con quella specifica azienda, ma che sono stati ceduti per vie dirette (magari perché mettiamo sempre qualche firma di troppo nei moduli della privacy) o acquisiti in maniera non perfettamente pulita.

A quel punto i buoi sono scappati. Tutte le scuse e le multe del mondo non cancelleranno il fatto che i vostri dati siano ormai irrimediabilmente pubblici, venduti e condivisi da altri criminali, disponibili in immensi database contenenti dati su milioni, a volte centinaia di milioni di persone. E assieme a loro ci siete voi, con il vostro nome, cognome, il vostro numero di telefono e l’indirizzo e-mail, magari anche l’indirizzo fisico dove abitate con la vostra famiglia.

A volte è presente anche la password, magari troppo facile da indovinare e riutilizzata su più di un sito, non adeguatamente protetta del gestore del servizio (ad esempio con un hash senza salt) o addirittura salvata in chiaro. Le compagnie aeree e gli hotel possono perdere dati che fanno riferimento al vostro passaporto, i siti di commercio elettronico possono perdere il numero della vostra carta di credito.

Nessuna informazione personale che consegnate a terzi è davvero al sicuro: prima o poi qualcuno la perderà.

Cosa fare?

Le premesse non sono entusiasmanti, lo riconosco. Bisogna necessariamente ragionare in un’ottica di damage control, di riduzione del rischio e mitigazione del danno. È possibile prendere degli accorgimenti anche molto basilari per proteggere le proprie informazioni e i propri soldi. In questo breve vademecum darò suggerimenti sia per chi si considera “low tech“, quindi con poca esperienza di informatica e/o che non vuole sudare sette camicie, sia per chi è maggiormente esperto e ha buone capacità organizzative.

Password: una diversa per ogni sito

Molti vedono la password come un problema. “Un giorno potrei dimenticarmela, quindi uso la stessa ovunque” oppure “ne uso quattro/cinque a rotazione, tanto se non è una è l’altra” o qualche altra iterazione del genere. Sicuri del fatto che nessuno indovinerà “Chiocciolina1986” o che comunque nessuno ha interesse a violare il nostro account. Invece l’interesse c’è, ma non come attacco mirato alla nostra persona, bensì come pesca a strascico, facendoci finire in quegli elenchi di milioni di contatti di cui scrivevo prima.

E non ha più senso ormai confidare nel fatto che i gestori del sito/servizio adottino tutti gli accorgimenti tecnici per tenere la nostra password al sicuro. Anche dopo recentissimi attacchi a siti e organizzazioni italiane abbiamo avuto modo di leggere database con password salvate in chiaro o con un hash facilie da decrittare.

Soluzione “low tech”: fate uno sforzo e prendete un password manager, ce ne sono molti gratuiti e facili da utilizzare. Alcuni sono inclusi con i programmi antivirus. In questo modo potrete (e dovrete) usare una password diversa per ogni servizio e sito web. Dovrete solo avere l’accortezza di fare una copia di backup del file delle password di tanto in tanto. Un backup in un posto diverso dal PC, magari su una chiavetta USB che terrete al sicuro. In questo modo l’unica password che dovrete ricordare sarà quella di accesso al password manager (dovrà essere facile da ricordare ma difficile da indovinare), e se perderete o romperete il PC grazie al backup non perderete il file con le password.

Soluzione “high tech”: password manager anche per voi, con l’aggiunta di un sistema di autenticazione multi-fattore per tutti i siti e servizi critici. È preferibile usare un sistema basato su app o token anziché SMS.

Nome e cognome: a volte bastano gli pseudonimi o le iniziali

Intendiamoci, in molti casi (atti ufficiali, enti locali, studi medici, compagnie aeree, ecc.) non potete esimervi dal consegnare il vostro nome vero e completo. Anche i siti di e-commerce hanno bisogno dei vostri dati reali, ma in altri casi verificate se sia possibile entrare con uno pseudonimo, o semplicemente con le iniziali.

Non dico di contravvenire alle regole del sito, dovrete prima leggerle per bene, ma se è possibile farlo allora perché non provare? Io in molti siti dove è consentito farlo mi iscrivo con le iniziali, L per il nome e S per il cognome. In caso di data breach e successivi phishing sarà più facile individuare le truffe quando queste iniziano con “Caro L“.

Le soluzioni “low tech” e “high tech” in questo caso sono identiche: verificare ove sia legalmente possibile iscriversi usando pseudonimi o le proprie iniziali, e iniziare a farlo.

E-mail: separare gli indirizzi è meglio

L’e-mail attualmente è il vettore principale per malware e truffe, il punto debole dove tutti gli scammer e gli spammer del mondo bussano per cercare di truffarvi. Non è certo l’unico, ma sicuramente a oggi è il più utilizzato, servono quindi protezioni particolari. Mitigare il rischio consiste nel gestire diversi indirizzi o alias di posta, e so perfettamente quanto questo possa risultare difficile per chi non usa il computer abitualmente, quindi non mi sento di etichettarla come soluzione “low tech”.

Leggete i vari accorgimenti elencati di seguito per capire quale di essi possa fare al caso vostro.

Soluzione “high tech” 1: registrate un dominio e create un alias e-mail per ogni servizio, che però rimanda alla vostra normale casella e-mail. Si tratta in assoluto della soluzione più onerosa in termini di tempo e “sbattimento”, ma se riuscite a gestirla ne vale la pena. Trovate un ISP che vi dia la registrazione del vostro dominio Internet e alias illimitati (ma attenzione: devono essere proprio alias illimitati, non un cosiddetto “catch-all”). In questo modo sarete in grado di attivare, tramite pannello di controllo, tutti gli alias che volete. Disattivate anzitutto l’eventuale funzione “catch-all”: se un alias non viene esplicitamente creato da voi, non deve esistere. Quindi iniziate a creare alias diversi per ogni sito o servizio, ad esempio “banca@vostrodominio.it” da dare alla banca, “dentista@vostrodominio.it” da dare allo studio dentistico, ecc. Tutti questi alias manderanno i messaggi alla vostra attuale casella di posta elettronica, quindi non dovrete controllare N caselle bensì solo una (quella solita).

Il giorno che un servizio o un sito in particolare perderà la riservatezza dei vostri dati, sarà per voi sufficiente cancellare/variare quell’alias per evitare spam e truffe via e-mail.

Inoltre, con questa soluzione avrete una possibilità in più di accorgervi delle truffe quando un presunto sito o servizio scriverà all’indirizzo sbagliato. Per fare un esempio, se doveste ricevere un messaggio dalla vostra banca presso un indirizzo e-mail diverso da “banca@vostrodominio.it”, capirete che qualcosa non va.

Infine, se iniziate a ricevere messaggi di spam a uno di questi alias particolari, ad esempio “dentista@vostrodominio.it”, saprete in anteprima che il database dello studio dentistico è stato violato anche se nessuno vi aveva avvisato.

Due accorgimenti a questa soluzione: 1) aggiungete un pizzico di creatività all’alias che andrete a creare. Molti creano ad esempio “amazon@vostrodominio.it”, ma diversi spammer già conoscono questa soluzione, prevedono quali sono gli alias più comuni e mandano lo spam a indirizzi dai nomi prefissati. Aggiungete “un po’ di sale” e inserite nell’indirizzo dell’alias un codice che le procedure automatiche degli spammer non possono prevedere, ad esempio una data. Se su Amazon vi registrate con l’indirizzo “amazon1974@vostrodominio.it” sarete ragionevolmente al sicuro anche da questo tipo di attacchi. 2) Non fate scadere il vostro dominio. Mettete il rinnovo automatico nel pannello del service provider o appuntatevi la data di rinnovo sul calendario. Perdere il dominio sarebbe l’inizio di un’odissea per variare tutti gli indirizzi usati su tutti i siti.

Soluzione “high tech” 2: esistono servizi che svolgono il compito di cui sopra ma in maniera sufficientemente automatizzata. Non sono sempre così facili da usare, per questo non posso definirli una soluzione “low tech”, inoltre usano domini proprietari (se smettete di usarli dovrete cambiare le e-mail ovunque le avete inserite) e generalmente sono a pagamento. Però se tutti questi ostacoli non vi scoraggiano, in caso non abbiate o non vogliate gestire il vostro dominio potete provare a usarli.

Fra i siti che offrono questo servizio vi sono Blur di Abine, Burnermail e AlterEgo. Non li ho testati tutti quindi non ne consiglio uno in particolare, provateli e guardate se fanno per voi.

Numero di telefono: anche no

In molti casi non ne potrete fare a meno, il numero di telefono è un campo obbligatorio su molti siti. Inoltre, a volte dare un telefono funzionante va a vostro vantaggio: la compagnia aerea vi avvisa in caso di ritardi, lo studio medico vi chiama per gli appuntamenti, il sito di e-commerce lo darà al corriere che concorderà con voi la consegna del pacco. Non è possibile purtroppo creare N numeri di telefono per ogni iscrizione, come per gli indirizzi e-mail. Esistono però modi per limitare i rischi in caso di data breach.

Soluzione “low tech” 1: se possibile, evitate. Non tutti hanno bisogno del vostro numero di telefono. Ad esempio la palestra, o il sito di ricette, o quei ragazzi davanti al supermercato che chiedono soldi per una causa di benficienza. Provate un “ma anche no” quando vi chiedono il telefono. Certo, molti insisteranno, ma in tutti i casi il vostro numero di telefono è un obiettivo secondario, di solito quello che vogliono è la vostra iscrizione e i vostri soldi, alla fine saranno loro a cedere. Non ho visto una singola palestra finora che abbia annullato un’iscrizione perché l’interessato si rifiutava di dar loro il numero di telefono. Ricordate anche che esistono aziende disoneste che iscrivono il vostro numero di cellulare a servizi a pagamento, da cui ci si riesce a cancellare solo dopo molti addebiti. Per farla breve: non date il vostro numero a chiunque ve lo chiede.

Soluzione “low tech” 2: dotatevi di due numeri di telefono, uno “di serie A” e uno “di serie B“. Il numero di “serie A” sarà quello per amici e parenti, che non cambiereste volentieri. Il numero di “serie B” sarà quello che date in giro, e che attivate solo quando serve. Per mantenere la soluzione più facile possibile cercate un telefono dual SIM (ve ne sono molti in commercio, anche di fascia bassa) che consenta di attivare e disattivare la SIM a piacere. A quel punto attivate il numero solo quando sapete che probabilmente sarà utilizzato, ad esempio quando dovete ricevere un pacco, o quando state aspettando la chiamata di qualche studio o azienda. Teneteci pochissimi soldi (per mitigare i rischi delle truffe ad addebito) e magari ogni N anni bruciatelo e prendetene un altro. Se vi accorgete che il numero di “serie B” fa parte di un data breach sarà meno problematico rimpiazzarlo.

Soluzione “high tech”: prendete un numero VOIP e collegatelo allo smartphone. Si tratta di una soluzione analoga al prendere una SIM “di serie B”, ma in questo caso il mantenimento è un po’ più complicato (dovrete gestire il numero VOIP e l’app sul vostro smartphone). Il vantaggio sta nel fatto che potete applicare questa soluzione anche con uno smartphone a SIM singola.

Indirizzo postale: solo se davvero necessario

Per l’indirizzo di casa la questione si fa ancora più spinosa. È vero che gli hacker e i truffatori generalmente non sono interessati a venirci a trovare sotto casa, o a mandare “spam cartaceo” (anche se esistono casi diffusi di truffa attraverso la corrispondenza convenzionale), ma è comprensibile essere in ansia quando informazioni sul proprio indirizzo privato vengono trafugate e sono disponibili a chiunque sul dark web. Purtroppo le soluzioni per mitigare il rischio sono poche e non sempre percorribili.

Soluzione “low tech” 1: vale lo stesso discorso fatto per il numero di telefono. È davvero necessario dare il proprio indirizzo, soprattutto quando non si aspettano pacchi o comunicazioni scritte? Spesso serve alle aziende per completare l’identificazione a servizi necessari, come le cure mediche o in caso di viaggi in aereo, o semplicemente per redigere una ricevuta, ma in altre occasioni potrebbe non essere necessario. Valutate quindi sempre attentamente se valga la pena comunicare il vostro indirizzo personale.

Soluzione “low tech” 2: prendete in considerazione l’uso stabile di indirizzi alternativi, come ad esempio quello del posto di lavoro (servono ovviamente le necessarie autorizzazioni) oppure quello di un centro di domiciliazione della corrispondenza. Di questi ultimi ne esistono molti, soprattutto nelle grandi città (mi viene in mente ad esempio MBE), anche se non posso raccomandare un servizio piuttosto che un altro.

Conclusioni

In questo post provo a dare dei suggerimenti per ridurre il rischio derivante dai data breach, non per azzerarlo. Come scrivevo all’inizio, è meglio non farsi illusioni e considerare molti dei dati personali che conferiamo ad aziende e organizzazioni (online e non) come potenzialmente già rubati.

Seguendo però tutti gli accorgimenti qui descritti ecco che quando ignoti hacker violeranno un database che contiene come nome semplicemente le nostre iniziali, come nostro indirizzo e-mail un alias univoco e facilmente rimpiazzabile, come password una non riutilizzata altrove, come telefono un numero poco utilizzato e sacrificabile, come indirizzo postale quello di un’azienda di domiciliazione, potremo considerare il rischio come sufficientemente ridotto e continuare a goderci la giornata.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.