Clubhouse, rilasciata l’applicazione beta pubblica per Android
Clubhouse ha finalmente rilasciato l’applicazione del popolare social network per Android, dopo i primi beta test privati della settimana scorsa. Il client è infatti stato pubblicato in versione beta pubblica negli Stati Uniti allo scopo di raccogliere ulteriori feedback, stavolta da un maggior numero di utenti. L’obiettivo è sempre quello di ottimizzare il prodotto, correggere eventuali bug e procedere all’integrazione di ulteriori funzionalità prima di iniziare la distribuzione su tutti i mercati.
Svizzera, il libretto elettronico delle vaccinazioni era un colabrodo di sicurezza informatica
Venerdì scorso (7 maggio) sono andato a fare la prima dose di vaccino anti-Covid (Pfizer, se ci tenete a saperlo). Il centro vaccinazioni di Giubiasco è facilmente accessibile in auto e con i mezzi pubblici, ben organizzato, con personale competente, gentile e disponibile. L’attesa è stata minima e non ho avuto effetti collaterali a parte un mal di testa e il naso un po’ chiuso per qualche ora. La ricezione del 5G non mi è migliorata, però Bill Gates mi sta più simpatico di prima.
L’unica pecca di tutto il procedimento è arrivata quando mi è stata consegnata la documentazione: insieme al foglio di carta con i dati della vaccinazione (numero di lotto, data, ora, specialista responsabile, eccetera) c’era infatti un foglio informativo su MyCOVIDvac, il sito del “libretto di vaccinazione elettronico” che dovrebbe custodire i dati della mia vaccinazione.
Il foglio, con tanto di logo del Dipartimento Federale dell’Interno e dell’Ufficio Federale della sanità pubblica, promette che le informazioni “vengono memorizzate sicure e in Svizzera. Solo lei stabilisce chi può accedere ai suoi dati protetti”. Sottolinea che “Il libretto di vaccinazione elettronico è un documento ufficiale”. Inoltre accenna alla possibilità che i dati del libretto costituiscano la base per un certificato di vaccinazione internazionale.
Il sito da visitare, secondo il foglio, è www.lemievaccinazioni.ch. Hmmm…. dove ho già sentito questo nome? Ricordo di averne sentito parlare nei media locali, ma non mi sovviene il motivo. Una visita al sito, che è un redirect a www.mycovidvac.ch, e tutto mi torna in mente.
Il sito infatti dice di essere “fuori servizio dal 22 marzo a causa di vulnerabilità di sicurezza […] I dati degli utenti sono ancora disponibili e protetti […] Tutte le lacune di sicurezza critiche identificate sono state eliminate […] La piattaforma dovrebbe tornare online all’inizio di maggio.”
Ma siamo al 10 di maggio e la piattaforma non è tornata online.
A marzo 2021, l’Incaricato federale della protezione dei dati e della trasparenza ha aperto un procedimento formale contro la Stiftung meineimpfungen, la fondazione che gestisce questa piattaforma e che ha sede a Gümlingen, nel canton Berna, in seguito alle segnalazioni di violazioni dei dati fatte dal sito svizzerotedesco Republik (articolo in tedesco).
Il sito aveva infatti delle falle di sicurezza spettacolari che consentivano a chiunque, con un po’ di competenza informatica, di accedere a “450’000 dati inerenti allo stato vaccinale, tra cui 240’000 relativi a vaccinazioni contro il Covid-19” e quindi il trattamento dei dati è stato interrotto, come spiegano i media nazionali (Bluewin, anche qui; Admin.ch; Swissinfo; Corriere del Ticino; Ticinonline; SRF, anche qui; La Regione).
L’Associazione consumatori della Svizzera italiana (ACSI), per la quale fra l’altro scrivo una rubrica mensile, ha pubblicato un facsimile di una lettera per consentire agli utenti di richiedere la cancellazione dei propri dati dalla piattaforma.
Un disastro, insomma. Una fondazione che aveva la fiducia delle autorità federali si è rivelata un colabrodo di privacy, e proprio in un settore delicato come quello della salute. Sulla stessa piattaforma, oltretutto, c’erano molti altri dati sanitari altamente sensibili. Dati sanitari che comprendevano, scrive Republik, anche quelli dei Consiglieri Federali Ignazio Cassis e Viola Amherd.
Ma qual era esattamente il difetto del sito? I mezzi d’informazione sono stati molto riassuntivi, ma Republik ha pubblicato non solo un articolo di spiegazione ma anche l’analisi tecnica (in tedesco; PDF) che ha dato il via alla vicenda.
—-
In sintesi: secondo Republik, chiunque riuscisse a identificarsi come medico sulla piattaforma aveva accesso a tutti i dati di tutti gli utenti: indirizzi, numeri telefonico, data di nascita, situazione vaccinale, fattori di rischio. E li poteva alterare, per esempio assegnando a una persona giovane e sana uno stato di rischio che le avrebbe permesso di ricevere in anticipo il vaccino.
Brutta situazione, potreste pensare, ma per sfruttarla sarebbe stato necessario trovare un medico corrotto. In realtà no: serviva soltanto qualcuno che riuscisse a registrarsi come medico sulla piattaforma. I dati necessari (un numero identificativo e un’immagine della tessera identificativa dell’associazione medica, o un diploma) erano facilmente reperibili online (i numeri identificativi sono pubblici e le scansioni delle tessere si trovano senza troppe difficoltà).
In altre parole, chiunque si poteva registrare come medico. Il processo era basato puramente sulla fiducia, senza alcun riscontro o controllo significativo. Questo è il mio numero, questo è il mio diploma, questa è la mia mail, mandatemi una password, grazie.
Sugli account dei medici non c’era autenticazione a due fattori, e il token di reset delle password che veniva mandato via mail era composto soltanto da sei caratteri e aveva il seguente formato:
https://www.meineimpfungen.ch/passwort-reset.do?token=******&usertype=SPECIALIST
Pertanto era possibile procedere per forza bruta fino a generare un token valido: tempo stimato, con 500 tentativi al secondo, circa due ore.
Non è finita. I ricercatori hanno scoperto che se ci si accontentava (si fa per dire) di consultare tutti i dati degli iscritti, senza volerli modificare, era sufficiente iniziare il processo di registrazione come medico e ignorare la mail che chiedeva di inviare un documento identificativo. A quel punto si chiedeva il reset della password, con il classico “Ho dimenticato la password”, che funzionava anche sugli account non ancora validati.
A questo punto era possibile vedere tutti i dati semplicemente conoscendone l’URL, che seguiva uno schema molto intuibile: l’ID della singola scheda utente era semplicemente un timestamp corrispondente alla data e all’ora di creazione dell’account del paziente-bersaglio. Era quindi sufficiente una enumeration progressiva di tutti i possibili timestamp per ottenere un elenco di quelli che corrispondevano a un account.
Ciliegina sulla torta, c’era anche una possibilità di cross-site request forgery e di cross-site scripting che permetteva di acquisire ulteriori dati sanitari, comprese informazioni su malattie croniche, infezioni da HIV e tumori.
La piattaforma dice di aver risolto tutti questi problemi, ma è da vedere se ha risolto quello fondamentale: riconquistare la fiducia degli utenti.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
Il TG1 RAI manda in onda un video falso del “razzo cinese” trovato online
Uno s’immagina che al TG1 facciano un minimo di verifica prima di dare una notizia. Che non mandino in onda il primo video trovato in giro su Internet e lo spaccino per una ripresa del rientro dello stadio del razzo cinese di cui si è parlato fin troppo in questi giorni. Che, da bravi giornalisti, facciano controlli, interpellino gli esperti, chiedano riscontri.
Macché: il TG1 stasera ha preso un video trovato su Internet e l’ha messo in onda, senza alcuna verifica e senza che nessuno, in redazione, accendesse un attimo un neurone e dicesse “Ma quello è un aereo, ca**o! HA PURE LE LUCI DI POSIZIONE”.
Questo è il modo in cui si lavora in uno dei più seguiti telegiornali d’Italia.
I fatti sono questi: da qualche ora circola su Internet un video che viene presentato come una ripresa del rientro di parte del vettore Lunga Marcia 5B cinese. Questo:
Debris from a large Chinese rocket, the Long March 5B, landed in the Indian Ocean near the Maldives, China’s space administration said.#ChineseRocket #LongMarch5B pic.twitter.com/E3oAYsgwxq
— Pradeep Poonia #SaveIndia (@pradeeeppoonia) May 9, 2021
Questa è una copia del video che ho messo su Youtube per consentire di esaminarlo in dettaglio:
È sufficiente guardarlo un attimo per notare che il “razzo” ha delle luci lampeggianti, particolarmente vistose verso la fine del video. In altre parole, è semplicemente un altro aereo che incrocia la rotta di quello sul quale si trovava la persona che ha ripreso il video. Una cosa normalissima, che chiunque abbia mai volato in aereo ha visto tante volte.
Ma la voglia di scoop evidentemente prevale sul buon senso in certe redazioni e così il video è stato diffuso come vero dal TG1 di questa sera, quello delle 20:30.
Se non ci credete, potete rivedere la cialtronata a 22:43 nella registrazione presente sul sito della RAI, presentata dalla giornalista Giovanna Botteri, che dice testualmente “…finché il passeggero di un aereo non è riuscito a riprenderlo mentre s’inabissava nell’Oceano Indiano, al largo delle Maldive”.
L’unica cosa che si inabissa veramente, stavolta, è la credibilità del metodo redazionale del TG1. Se questo video è stato preso da Internet e trasmesso a milioni di italiani senza alcuna verifica, senza farsi venire il minimo dubbio, come facciamo a sapere che la stessa cosa non succeda anche per le altre notizie che il TG1 diffonde?
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
Microsoft Surface Laptop 3 in sconto fino a 400 euro
Coi grandi siti di e-commerce come Amazon ed eBay siamo ormai abituati ad offerte e riduzioni di prezzo pressoché costanti, ma nella maggioranza dei casi, salvo periodi come il Black Friday o il Prime Day di Amazon, il risparmio non è mai di quelli da far girare la testa. E poi ci sono momenti in cui ci si imbatte in sconti davvero da non perdere. La proposta che vi facciamo oggi è proprio una di quelle: Surface Laptop 3, uno dei gioielli targati Microsoft, è in offerta su Amazon con un risparmio di ben 400 euro.
Acer Aspire 3, potente notebook sotto i 500 euro
Casa, scuola e lavoro. Al giorno d’oggi avere un portatile di accompagna in tutte le attività quotidiane della nostra vita, dal lavoro alla scuola, passando per lo svago che ci concediamo quando siamo a casa. L’idea del “computer da ufficio” è ormai superata, complice anche la versatilità che i dispositivi oggi in commercio sono in grado di offrire. Acer Aspire 3, uno dei gioielli dell’azienda taiwanese, ha tutte le carte in regola per diventare uno dei notebook più venduti e apprezzati di Acer.
Ho. Mobile ti premia se cammini più di quanto navighi
Ho. Mobile ha lanciato una promozione dedicata ai suoi clienti che hanno l’abitudine di camminare molto ogni giorno. Dopo l’offerta pensata per i clienti Iliad che prevede la portabilità del numero, l’operatore ha deciso di premiare chi compie ogni giorno più passi. In sostanza, chi cammina più di quanto naviga, viene premiato. L’iniziativa prende il nome, non a caso, Più Passi che Giga ed è valida fino al 31 maggio. Contestualmente alle riaperture, dunque, ho. Mobile premia chi svolge maggiormente attività all’aperto, ovviamente nel rispetto dei protocolli anti-covid vigenti.
Sniper Ghost Warrior Contracts 2, posticipata la versione PS5
CI Games ha oggi annunciato che l’uscita della versione PlayStation 5 dell’atteso gioco Sniper Ghost Warrior Contracts 2, verrà posticipata a causa di problemi tecnici scoperti nelle settimane precedenti al lancio. Ciò, assicura il publisher, non influirà però sulla data di lancio sulle altre piattaforme: il rilascio del gioco è ancora previsto per il 4 giugno su PlayStation 4, Xbox One, Xbox X|S e PC.
Razzo cinese rientrato senza far danni; SpaceX arriva al decimo riutilizzo
Lo stadio del vettore cinese Lunga Marcia 5B che ha generato titoli acchiappaclic a pioggia è rientrato in atmosfera sull’Oceano Indiano nella zona delle Maldive, come segnalato dall’Agenzia Spaziale Italiana. Non risultano notizie di danni a cose o persone. La fame di panico dei giornalisti irresponsabili può andare a cercarsi un altro boccone avvelenato da dare in pasto ai lettori.
—
Intanto stanotte è partito dalla rampa 40 della base militare di Cape Canaveral, in Florida, un vettore Falcon 9 di SpaceX, che ha collocato in orbita intorno alla Terra 60 satelliti per telecomunicazioni Starlink. Il primo stadio del vettore (l’esemplare B1051) ha compiuto così il suo decimo lancio e atterraggio: una tappa simbolica e significativa nel riutilizzo di lanciatori orbitali e quindi nella riduzione dei costi di accesso allo spazio. Anche le due metà della carenatura protettiva del carico erano al loro secondo volo.
Non si tratta di un record assoluto di riutilizzo, dato che la NASA riuscì in due occasioni a riutilizzare ben 12 volte alcuni pezzi dei booster a propellente solido dello Shuttle, vari motori dello Shuttle volarono più di dieci volte (il record è 19) e lo Shuttle Discovery fu riutilizzato 39 volte (cambiandone periodicamente i motori). Ma SpaceX sta riutilizzando l’intero primo stadio e richiede molta meno manutenzione, manodopera e riparazione rispetto al sistema Shuttle della NASA.
Falcon 9’s first stage has landed on the Just Read the Instructions droneship, completing this booster’s 10th launch and landing! pic.twitter.com/8KeEAfHgWF
— SpaceX (@SpaceX) May 9, 2021
Fonti: SpaceX; Eric Ralph; Spaceflight Now. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
Final Fantasy VII REMAKE INTERGRADE, nuovo trailer
Oggi Square Enix Ltd. ha svelato delle nuove scene di Final Fantasy VII REMAKE INTERGRADE, la versione migliorata e arricchita per la console PlayStation 5 dell’acclamato e pluri-premiato Final Fantasy VII REMAKE. Le nuove immagini mostrano la migliorata grafica PS5 del gioco, e dei nuovi contenuti inclusi in FF7R EPISODE INTERmission, episodio che segue Yuffie Kisaragi e il suo partner Sonon Kusakabe durante una missione rischiosa in cui dovranno infiltrarsi a Midgar per rubare la materia più potente della Shinra.
Flash e Windows 10: addio entro luglio
Qualcomm, trovata una falla nei suoi chip 4G e 5G
Un gruppo di ricercatori della compagnia di sicurezza informatica Check Point Software Technologies ha scoperto una pericolosa vulnerabilità nei modem di Qualcomm, nei modelli di chip sia 4G che 5G che gestiscono le telecomunicazioni di quasi il 40% degli smartphone nel mondo. Tramite essa dei malintenzionati potrebbero accedere alla cronologia delle chiamate e dei messaggi SMS, nonché all’audio delle conversazioni dei telefonini Android.
WhatsApp: in test la sincronizzazione dei dispositivi
Non sono pochi gli utenti che dispongono di più dispositivi e vorrebbero aver a disposizione la stessa “copia” di WhatsApp ovunque. Che si tratti di conversazioni di lavoro o per semplice diletto, spetto tra le chat si trovano informazioni e documenti importanti per la produttività quotidiano di ciascuno di noi. Per questo motivo, il team di WhatsApp sta accelerando sulle funzioni legate alla sincronizzazione tra più dispositivi, anche consentendo un dialogo diretto tra Android e iOS.
Cyber Security. Un webinar gratuito per dirigenti e titolari d’azienda
Venerdì 14 maggio alle ore 12 Non tutti devono essere esperti di IT per capire l’importanza della Cyber Security nella propria azienda. Per questo Mediatech propone tre incontri formativi gratuiti Di Paolo Brambilla – Trendiest Media Il ciclo di appuntamenti (gratuito, a numero chiuso) si pone l’obiettivo di fornire un aggiornamento sui rischi legati al crimine informatico e sulle soluzioni per ridurli. Durante il primo incontro saranno approfonditi temi legati alle strategie e strumenti per raggiungere i massimi…
L’articolo Cyber Security. Un webinar gratuito per dirigenti e titolari d’azienda scritto da Paolo Brambilla proviene da Assodigitale.
Podcast del Disinformatico RSI di oggi (2021/05/07) pronto da scaricare
È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto da me insieme a Tiki. Questi sono gli argomenti trattati, con i link ai rispettivi articoli di approfondimento:
- WhatsApp permette a chiunque di sapere se sei online e con chi stai comunicando
- Titoli assurdi e irresponsabili per il rientro di uno stadio di un razzo cinese: i fatti
- Nuovi aggiornamenti urgenti per smartphone, tablet e computer Apple
- Bill e Melinda Gates si separano. I memi informatici si scatenano
Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.
Buon ascolto!
No mountain? No problem: This Googler DIYed a rock wall
As a communications manager, Milan-based Googler Andrea Cristallini knows the importance of connecting with others through shared experiences. So when his partner Silvia suggested they start a sport together, he was excited to bond over something new. In December 2019, they went rock climbing together at a local gym for the first time and then climbed a real mountain soon after.
“I fell in love with it,” Andrea says. “The movements are similar to a dance. I enjoy the concentration it requires, how it feels when you touch the stone, and the idea of ascending to see what’s up there — and take in the landscape around you.”
Then, two months later, Italy went into lockdown. “We had this new passion and no chance to practice it,” Andrea says.
Thrilled with their new hobby, they decided to build their own climbing wall at home. “If you can’t go to the mountain, bring the mountain to you,” Andrea says. “I thought why not? It may not work, but we have several weekends ahead and nowhere to go.”
Like so many others who found ways to pass the extra time at home, Andrea and Silvia turned to Search and YouTube. They read blog posts and watched videos on how to build a DIY training wall.
They started small, with just one oriented panel leaning against a wall in their apartment and a few climbing holds scattered across it. But as time passed and the end of the pandemic was nowhere in sight, they added a second panel to the first, reinforcing them with support beams. They drilled in more climbing holds in different shapes and sizes. Then they connected the panels with a winch system that allows you to rotate the whole structure in order to increase difficulty and overhang.
“The biggest challenge was designing it from scratch without experience,” Andrea says. “But I had the passion and the time.”
Since then, Andrea and Silvia have used the climbing wall nearly every day. “Climbing helps us detach from screens; it’s a great mental break,” Andrea says. “I’m really motivated to get better at climbing, and it also makes me excited about spending more time outside soon.”
Even after the pandemic is over, Andrea has no plans to take down the wall. “It’s part of the house now, and it’s very effective for training,” he says. “On the contrary, I’ll start inviting friends at home to practice!”