Secondo G DATA, il fenomeno doxing ha catturato molta attenzione, ed il recente caso dello youtuber 0rbit ne è un esempio. Per settimane, infatti, lo youtuber ha pubblicato in rete dati privati di politici di quasi tutti i gruppi parlamentari, della stessa cancelliera federale oltre a quelli di varie celebrità. Attualmente non sono chiare né le motivazioni di un simile gesto né le effettive modalità di acquisizione delle informazioni sensibili. Soprattutto la scelta operata dallo youtuber di divulgare le informazioni tramite un falso account Twitter non dà l’impressione di una campagna mirata secondo gli esperti G DATA, tant’è che le informazioni pubblicate non sono state notate da quasi nessuno per ben un mese. Il giovane youtuber si è più verosimilmente limitato ad un “doxing” mirato delle persone colpite.
Ricordiamo che questo termine indica la raccolta e divulgazione in rete, contro la volontà dei soggetti coinvolti, di dati privati tra cui l’indirizzo di casa, recapiti telefonici personali, indicazioni sui figli, numeri di carte di credito, persino copie dei documenti d’identità: informazioni il cui potenziale di abuso risulta particolarmente elevato, ma facilmente reperibili attraverso ricerche dettagliate, senza richiedere attacchi specifici.
Ecco i suggerimenti degli esperti di G DATA, su come proteggersi dal doxing:
– Autenticazione a due fattori: al giorno d’oggi, accontentarsi di un login basato su una sola password è davvero vecchio stile oltre che rischioso: accade infatti ripetutamente che password presumibilmente segrete vengano “smarrite” da operatori poco attenti o mal protetti. Ad esempio, in rete circolano ancora milioni di password derivanti dall’attacco hacker che colpì Dropbox del 2012: è in pericolo quindi chi utilizza la stessa password su più piattaforme o chi, da allora, non ha provveduto a crearne una nuova. L’autenticazione a due fattori richiede, oltre alla singola password, l’inserimento di un codice temporaneo che appare sullo smartphone o di uno speciale dispositivo collegato al computer.
– Verificare l’integrità della password: sono diversi i servizi che aiutano a verificare se un account è stato soggetto ad attacchi e divulgazione di dati. Tra questi HaveIBeenPwned o Identity Leak Checker sono i più gettonati. Da qualche tempo chi utilizza il browser Firefox può venire informato riguardo a eventuali problemi.
– Googlare regolarmente il proprio nome: in questo modo, è possibile capire quali sono le informazioni personali condivise in rete, verificarne la correttezza e constatare se l’eventuale presenza di dettagli sia voluta o meno.
– Beneficiare del GDPR: il regolamento generale sulla protezione dei dati personali prevede, in base a precise condizioni, il diritto di richiedere la cancellazione dei dati o di predisporre correzioni, qualora fornitori di servizi online pubblicassero informazioni false o obsolete sulla propria persona.
– Disattivare i cookies di terzi: sul web i cookies sono uno strumento utile, per salvare ad esempio impostazioni su un sito web come la dimensione del carattere utilizzata. Tuttavia, i cookies di terzi, come quelli delle reti pubblicitarie, possono raccogliere numerose informazioni sull’utente in merito a siti consultati o precisi interessi. Molti siti web offrono la possibilità di adattare le impostazioni dei cookies in modo specifico, in alternativa è possibile cancellarli regolarmente.
– Verificare le autorizzazioni delle app: Sono ormai numerose le autorizzazioni richieste dalle app per smartphone e dare il consenso in effetti presenta spesso diversi vantaggi. Basti pensare a WhatsApp, dove caricando la rubrica è possibile identificare i contatti dotati della stessa applicazione – pratica discussa a livello di legislazione sulla protezione dei dati. Vale la pena comunque prestare attenzione quando si installano nuove applicazioni. Perché ad esempio una app “torcia” dovrebbe poter accedere alla mia posizione?
Per proteggersi da software dannosi e amministrare le autorizzazioni delle app è opportuno dotarsi di soluzioni per la sicurezza mobile.
– Attenzione alle mail: molti utenti sanno che non si dovrebbero aprire gli allegati provenienti da mittenti sconosciuti. La posta elettronica però presenta ulteriori pericoli: i cybercriminali possono infatti nascondere software dannosi o pixel di monitoraggio, anche nelle immagini integrate in mail recapitate in formato HTML, entrambi consentono loro di reperire informazioni sugli utenti. Sarebbe quindi consigliabile inviare e ricevere mail solo in formato testo e disattivare il caricamento automatico delle immagini.