Un termine relativamente nuovo che comincia ad essere sempre più spesso utilizzato è doxxing (o doxing). Si tratta della pratica, sempre più comune, che consiste nel diffondere pubblicamente online dati personali e informazioni private riguardanti una o più persone. Un atto ovviamente lesivo dell’altrui privacy che viene sovente utilizzato come una forma di hacktivism con il preciso intento di far venire a galla e mettere alla gogna atteggiamenti poco trasparenti o comportamenti censurabili o illeciti da parte di singoli soggetti.
È attualissima la pubblicazione di dati sensibili riferibili a politici tedeschi e altre personalità di spicco (Pubblicati dati personali e documenti riservati di politici e personalità di spicco: scoppia il caso in Germania). Quanto accaduto è proprio un esempio di doxxing.
Come proteggersi da operazioni di questo tipo ed evitare che dati personali possano essere pubblicati sulla rete all’insaputa dei diretti interessati?
G DATA, azienda tedesca fondata nel 1985 con una storia trentennale nella lotta e prevenzione contro le minacce informatiche – uno dei principali fornitori al mondo di soluzioni per la sicurezza IT -, ha provato a fare il punto offrendo alcuni suggerimenti per proteggersi dal doxxing:
1) Attivazione dell’autenticazione a due fattori. Come abbiamo più volte osservato, al giorno d’oggi accontentarsi di un login basato su nome utente e password è assolutamente sconsigliabile.
Non è raro che si verifichino attacchi lato server, con i fornitori dei servizi che si lasciano sottrarre le credenziali di accesso dei loro utenti. Le password sono spesso correttamente salvate sotto forma di hash ma per i criminali informatici è tutt’altro che impossibile, in alcune situazioni, risalire alle password in chiaro.
Le credenziali possono essere soggette a furto anche sui dispositivi degli utenti, ad esempio in seguito a un’infezione malware o all’installazione di qualche “software spia”.
Meglio quindi impostare l’autenticazione a due fattori in modo tale che il login debba essere confermato utilizzando ad esempio un dispositivo che si possiede (inserimento di un codice temporaneo che appare sullo smartphone o collegamento di uno speciale dispositivo token). Vedere, a tal proposito, Verifica in due passaggi Google: solo 10% degli utenti la usano e Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.
2) Verificare l’integrità della password. Esistono alcuni servizi che permettono di capire se le proprie credenziali possano essere state sottratte in seguito ad attacchi sferrati sui server dei vari provider. I più famosi sono HaveIBeenPwned e Identity Leak Checker. Da qualche tempo chi utilizza il browser Firefox può venire informato riguardo a eventuali problemi: Firefox Monitor, cos’è, come funziona e come aiuta a saperne di più sui furti di dati. Vedere anche 42 milioni di credenziali di accesso inviate all’autore di Have i been pwned.
3) Fare ricerche online sul proprio nome o sulla propria azienda. Cercare sul motore di ricerca di Google, periodicamente, il proprio nome, i propri marchi o la propria azienda aiuta a verificare la correttezza delle informazioni pubblicate online e permette di attivarsi tempestivamente nel caso in cui fossero diffusi dati riservati.
Nell’articolo Io sul web: ricevere un avviso quando qualcuno parla di voi o della vostra azienda abbiamo presentato i migliori strumenti che consentono di ricevere una notifica nel momento in cui qualcuno parlasse di noi sul web.
4) Beneficiare del GDPR. Il regolamento generale sulla protezione dei dati personali vigente in Europa prevede, in base a precise condizioni, il diritto di richiedere la cancellazione dei dati o di predisporre correzioni, qualora fornitori di servizi online pubblicassero informazioni false o obsolete sulla propria persona.
È possibile attivarsi sia nei confronti degli amministratori dei singoli siti web sia esercitare il cosiddetto diritto all’oblio nei confronti dei motori di ricerca. Nell’articolo Pagine rimosse da Google, perché? abbiamo indicato la procedura e i moduli da compilare nel caso di Google.
5) Verificare le autorizzazioni delle app. La sottrazione di dati personali e informazioni riservate può avvenire anche sugli smartphone degli utenti. Anzi, è diventata una prassi piuttosto comune.
Sono ormai numerose le autorizzazioni richieste dalle app per smartphone e dare il consenso presenta spesso diversi vantaggi. È tuttavia bene prestare la massima attenzione quando si installano nuove applicazioni. Perché ad esempio una app con funzionalità di “torcia” dovrebbe poter accedere alla posizione geografica del dispositivo o all’elenco dei contatti?
Ne abbiamo parlato nell’articolo App Android pericolose per la sicurezza e la privacy.
6) Attenzione alle email che si ricevono. È uno dei consigli principe che viene ripetuto da anni e che oggi continuano ad essere di fondamentale importanza.
Gran parte delle realtà d’impresa utilizzano sistemi antivirus e antispam centralizzati ma non è infrequente che alcune email pericolose riescano a superare i filtri e raggiungano le caselle di posta dei singoli utenti.
Come regola generale sarebbe consigliabile impostare il software che si utilizza in maniera tale che disattivi il caricamento automatico delle immagini e degli oggetti memorizzati su server remoti.
È bene essere sempre guardinghi, inoltre, quando si ricevessero email sospette: seguendo le indicazioni riportate nell’articolo Da dove arriva una mail e chi l’ha inviata? è possibile accertare da dove sono davvero partiti i messaggi.
E nel caso in cui si utilizzasse Gmail, va tenuto presente che alcune email potrebbero non essere spedite dagli utenti che vengono dichiarati come mittente: Attenzione ai messaggi ricevuti su Gmail: potrebbero non pervenire dai mittenti indicati.