{{feedLink}}

MooneyGo - a volte ritornano.

comunicazione agli interessati Christian Bernieri
(Aggiornato il )
AI

È arrivata!!!  Una nuova email da MooneyGo!

Finalmente! Ero in pensiero all'idea che fosse tutto già finito.

 

Prima ancora di leggerne il contenuto, faccio un rapida verifica perché, se ben ricordo, nella mail precedente c'era qualche problemino.

Nel mio precedente pezzo dedicato a MooneyGo ho evidenziato quello che, a mio giudizio, sembra essere un grosso problema: il fatto che la mail con cui MyCicero ha avvisato gli utenti del data breach contiene un tracker, un sistema per monitorare l'apertura dei messaggi e collezionare dati personali.

Da una prima verifica, la nuova comunicazione, integrativa, è stata modificata e non contiene più il tracker. Inoltre, il testo della mail specifica che "Questo messaggio non utilizza alcun sistema di tracciamento delle aperture o dei click.".  

Magnifico... allora si può fare! Dunque non è un elemento tecnico irrinunciabile, se ne può fare a meno... di conseguenza si conferma la tesi secondo cui l'aver messo nella mail un tracker è proprio una scelta consapevole, operata con deliberato consenso, nonché con consapevolezza e accettazione delle conseguenze. Ottimo!

È vero, all'indomani di una cazzata sono tutti capaci di giudicare, il senno del poi è sempre piuttosto scontato, ma è altrettanto vero che, se sei un metereologo esperto, esci con l’ombrello nei giorni di pioggia. Non si può trattare milioni di dati senza una grande competenza, senza il know-how e l'esperienza necessaria. Non si può fare nemmeno senza la necessaria prudenza. Piuttosto che gestire i dati dei parcheggi, transiti, spostamenti, ci sarebbero tanti mestieri innocui da prendere in considerazione come la pittura, la poesia, il ciclismo, l'ippica. Suggerisco di evitare di farsi le ossa nella vita spaccando quelli altrui.

Ma non perdiamoci in polemiche e recriminazioni, apprezziamo ciò che di bello ci offre la vita: il dialogo costruttivo. Per stabilire un corretto livello di comunicazione con un'azienda, a volte, basta dotarsi di una nodosa e robusta clava, impreziosita da intarsi metallici acuminati, scagliarla energicamente sul grugno dell'interlocutore e tutto si risolve.

Con MooneyGo, la clava è servita per togliere solo alcuni tracker, ma non tutti. In effetti, andando a spulciare meglio il codice html dell'email, tracciatori di apertura ci sono, eccome! Restano le immagini scaricate dal sito MooneyGo che, ad ogni apertura del messaggio, generano un flusso di dati personali verso il server web... ci sono ancora link univoci associati alle singole utenze, riconoscibili dal server web.... ma lasciamo perdere e facciamo finta di crederci, ben sapendo che questa operazione di privacy-washing è solo di facciata: una presa per il culo. La questione è chiara, se ci fosse un Giudice a Berlino, qualcuno bravo ci guarderebbe dentro per far rispettare il GDPR. Non accadrà.

Dopo questa corroborante scoperta, un pò fiero ed un pò barzotto, con il cuore gaio, ma non troppo, posso leggere il nuovo messaggio con rinnovato ottimismo e un immeritato senso di fiducia nel genere umano.

...

MaPorcaTroia!

 

Ecco la mail opportunamente segmentata.

 

Andiamo con ordine...  i numeretti dei paragrafi che seguono si riferiscono ai pallini gialli che ho aggiunto nella mail capolavoro.

 

1) Questa comunicazione non è spontanea, ma spintanea. Il Garante ha giudicato la precedente comunicazione, "hem hem"... carente di alcuni elementi necessari. Per rimediare, è stato chiesto di fare un secondo invio, con l'evidente costo in termini economici e di danno d'immagine, per aggiungere le informazioni necessarie che, "sfortunatamente", non hanno trovato posto nel primo invio. 

2) I tempi sono circadiani. Mi chiedo con che coraggio si possano avvertire le persone dei fatti accaduti 7 mesi prima! Qui i buoi non sono solo scappati dalla stalla, anno avuto anche il tempo di evolversi in una nuova specie e ora camminano su due zampe:  bos taurus erectus.

3) che siano stati compromessi i dati identificativi e di autenticazione era già noto e grave, ma l'integrazione è agghiacciante: i dati di uso del servizio. Ma porcavacca.

4) tutto. qui c'è dentro tutto, una miniera di informazioni su ogni utente: dove vive, dove lavora, a che ora inizia a lavorare e a che ora finisce, dove e quando va dalla morosa, quando e dove è andato in ferie, cosa ha fatto nel weekend... i suoi spostamenti privati o lavorativi.  Nel caso dei biglietti per spostamenti di lunga percorrenza, sono stati compromessi persino i nominativi dei compagni di viaggio. A questo punto, chissene del resto. Questi sono i dati che dovrebbero preoccupare chiunque.

Ci sarà qualche anima candida non interessata e convinta che "non ha nulla da nascondere", ma cambierà presto idea appena si renderà conto che non gli manca qualcosa da nascondere, ma la fantasia necessaria per un uso perverso di informazioni apparentemente innocue. 

Questa mole di informazioni sarà una miniera d'oro per ogni sorta di truffatore, criminale, politico, ma anche per gente onesta come giornalisti, datori di lavoro, vicini di casa curiosi che, avendo la possibilità di sbirciare i movimenti di qualcuno, lo faranno senza sentirsi particolarmente truffaldini. Infondo i cattivi non sono loro ma i criminali che hanno messo online tutte queste informazioni...

E INVECE NO, criminali sono anche tutte quelle persone che faranno usi maliziosi e illeciti dei dati pubblicati, avendo come alibi il solo fatto che siano dati accessibili con pochi click, senza rendersi conto che usarli è esattamente come appropriarsi di una bicicletta altrui solo perché è stata lasciata slegata davanti al bar.  Criminali sono coloro che avrebbero dovuto proteggere questi dati e che ora berciano giustificazioni irricevibili.

5) Con una logica che farebbe impallidire Bertrand Russell, i potenziali rischi sono esposti in ordine inverso, dal più mite al più terrificante. In effetti, leggere la tabellina al contrario, dal basso verso l'alto, potrebbe comportare una sincope... meglio svenire verso la fine, dopo aver letto l'inutile panegirico su questioni banali ed irrilevanti.

Spoiler - il cure della questione è questo: i dati rubati permettono di ricostruire le abitudini delle persone, i loro spostamenti, informazioni sullo stile di vita, i luoghi frequentati (sia di lavoro, che di residenza, di vacanza, di piacere), i centri di interesse della propria esistenza come scuole, chiese, palestre, ospedali, parenti, sedi di partiti politici, associazioni, combriccole di compagni di merende. Diciamolo, oggi il mostro di Firenze avrebbe vita dura... ma hanno vita dura anche milioni di persone per bene, i cui dati sono alla mercede dei mostri.

6) segue una faceta descrizione di cosa è stato fatto... e vorrei anche vedere: i buoi sono scappati e ti vanti di aver messo il catenaccio nuovo? Sticazzi, nientemeno?

7 e 8) dopo la minuziosa descrizione delle mirabolanti misure adottate da MooneyGo, arriva la consueta presa per i fondelli: cosa dovrebbe fare l'utente per evitare i rischi ed evitare che tutto questo si ripeta. L'utente!

Ecco, a questo punto smetto di sorridere e inizio a digrignare i denti e serrare i pungi.

"Christian, stai calmo, non fare come l'ultima volta."

...

Dovrei cambiare la mia password su altri sistemi... perché secondo MooneyGo il coglione sono io!

Dovrei scegliere password complesse, con simboli, numeri, maiuscole, minuscole, lunghe, senza usare parole o termini comuni, a me non riconducibili, cambiandole periodicamente.

Dovrei anche attivare l'autenticazione a due fattori... sull'account di posta elettronica.

Si, per MooneyGo il coglione sono proprio io!

 

 

Dato che il mio Cristomadonio* ha raggiunto valori record, ora lo dico: 

- l'unico modo per ridurre i rischi dovuti a MooneyGo è non usare MooneyGo.

* marcatore ematico dello stato di collera, la cui scoperta si deve a Walter Vannini.

 

- La password che devo cambiare è stata mal gestita da MooneyGo. Che sia complessa o semplice, è MooneyGo ad aver fatto la cagata, non gli utenti. 

- Le raccomandazioni per comporre una buona password sono antiche e superate, frutto di cialtronaggine. Suggerire oggi di comporre password con questi criteri significa essersi persi gli ultimi 15 anni di evoluzione tecnologica, ignorare le linee guida ENISA e del Garante Privacy, significa non conoscere l'esistenza delle passphrase e, in sintesi, significa dare un consiglio sbagliato che peggiora le cose. 

- Consigliare di usare l'autenticazione a due fattori sui servizi online (email), senza rendersi conto che il proprio sito non la prevede, è veramente deprimente. MooneyGo, che si è fatto fottere i dati di migliaia di persone, non implementa l'autenticazione a due fattori, però suggerisce di utilizzarla sui siti degli altri.

- Ed ora arriva la chicca...  provare a cambiare password sul sito MooneyGo è un'esperienza surreale. Le indicazioni che MooneyGo suggerisce sono incoerenti rispetto ai requisiti di sicurezza imposti dal loro stesso sistema:

 

La mia password non rispetta i requisiti di sicurezza, perché? Perché è troppo lunga. Ma certo, logico. Questa colossale idiozia non si concilia con il consiglio appena ricevuto e il suggerimento di comporre password di "lunghezza particolarmente elevata". Peccato. Il sito, per ragioni di sicurezza, non accetta password più lunghe di 25 caratteri e questo, per me, è un cupo mistero ...e spero che resti tale perché le possibili spiegazioni mi terrorizzano.

Quale limite tecnologico (o cognitivo) ha imposto un limite a 25 caratteri? Veramente, non lo voglio sapere!

 

 

E finalmente eccola l'unica cosa che dovrebbe essere detta. Alla fine della email, ben nascosta, scritta in termini alieni ad un utente comune, in palese sfregio delle intenzioni iniziali dichiarate: "La presente comunicazione è stata redatta in linguaggio semplice e chiaro, evitando tecnicismi, proprio per facilitare la lettura da parte di ogni utente." Ennesima presa per i fondelli.

Riporto volentieri questa perla che andrebbe scolpita nella pietra, più o meno come un epitaffio:

"Per ridurre i rischi connessi ai dati di viaggio e spostamento potenzialmente esposti, Le suggeriamo di prestare particolare attenzione a possibili tentativi di phishing o ingegneria sociale. Ad esempio, un malintenzionato potrebbe contattarla citando tratte, orari o importi reali per apparire credibile e indurla a condividere informazioni. In tali casi, mantenga la massima diffidenza, non fornisca mai password, codici o dati di pagamento via e-mail o SMS e verifichi l’autenticità di qualsiasi richiesta solo attraverso canali ufficiali reperiti autonomamente (sito o numero dell’operatore)."

 

"Dati potenzialmente esposti"?
"Phishing"?
"Ingegneria sociale"?
"Canali ufficiali reperiti autonomamente"?
Forse va riconsiderato il concetto di "linguaggio semplice e chiaro".

Provo a tradurre questo trafiletto conclusivo a beneficio di chi, come me, ha l'anello al naso:

"Noi di MooneyGo ci siamo fatti fregare informazioni riservate sui tuoi viaggi, tragitti, parcheggi, noleggi, luoghi frequentati, spostamenti e abitudini di vita. Per questa ragione ora sei esposto a truffe della peggior specie: truffatori professionisti, sapendo molte cose su di te, avranno la possibilità di apparire credibili e convincenti e non sarai in grado di distinguere una truffa di questo tipo da una chiamata o da un messaggio legittimo. Potresti già aver subito truffe di questo tipo perché i dati sono stati rubati 7 mesi fa, ti avvisiamo solo ora ma solo perché siamo stati obbligati a farlo. Ci scusiamo di questo, non era nostra intenzione turbarti. Da ora in poi non potrai più rispondere a telefonate di operatori, call-center, non potrai più aprire email dai tuoi provider e vivrai come se fossi in costante pericolo. Non potendo più fidarti delle comunicazioni che arriveranno da noi, dagli store online che utilizzi, dalla tua banca, dalla clinica dove ti curi, dalla tua azienda, dalla scuola dei tuoi figli, dalla palestra e da ogni altro tuo fornitore, perderai anche comunicazioni importanti e potresti avere disservizi per mancati pagamenti o simili, ma è inevitabile perché non hai alcuna difesa rispetto a truffe basate sulle informazioni reali che ci siamo lasciati rubare. Grazie per aver usato MooneyGo."

 

Auguri a tutti i compagni di sventura.

 
Per capire,
per essere consapevoli,
per difendersi.

CB

 

 

 
Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

 

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.

Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.

Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...

Toggle darkmode