Ci piacerebbe poter dire che esiste un modo. Ma il nostro lavoro è dire la verità, non quello che vorremmo sentire. Quindi ecco la cattiva notizia...
Non è possibile fermare le fughe di dati
Sono praticamente inevitabili.
È vero: non è una cosa facile da accettare, ma è così. Nel momento in cui fornisci dati a un sito Web o a un servizio online, rinunci a qualsiasi controllo su tali dati. Nel migliore dei casi questi siti Web possono vendere i tuoi dati ad altre aziende (cosa che spesso accade). Nel peggiore dei casi, le falle nella sicurezza informatica di questi siti consentiranno a hacker e altri utenti malintenzionati di appropriarsi dei dati per usarli a proprio piacimento.
E se pensi che non utilizzando un servizio come Google o Facebook puoi evitare i rischi, ti sbagli. Ricorda: i servizi che usi possono vendere i tuoi dati ad altre aziende di cui non sai nulla. Se si verifica una violazione della sicurezza in queste aziende, i tuoi dati potrebbero essere resi pubblici a tua insaputa. Questo è uno dei motivi per cui la suddetta violazione in Equifax è stata tanto devastante: persino chi non aveva mai utilizzato il servizio ha subito una fuga di dati, perché le banche li avevano trasmessi a insaputa dei proprietari.
A ogni modo, di recente è stato definito un accordo con Equifax in base al quale le vittime della violazione possono ottenere un rimborso. Non è quanto previsto inizialmente, ma se non altro basta compilare un modulo per recuperare qualcosa per il danno subito.
In ogni caso, a meno che non si scelga di disconnettersi completamente dalla società moderna, ci sarà sempre un rischio di compromissione dei dati personali.
Perché si verificano le violazioni?
Semplice. I dati sono preziosi: le aziende dispongono di numerosi dati e hanno molti modi per ottenerli.
Anche i siti Web più piccoli che richiedono un account per l'accesso hanno dati che interessano agli hacker o ad altri utenti malintenzionati. Che si tratti di password riutilizzabili per ottenere l'accesso ad altri account o di email attive da usare per attività di spamming o phishing, le opportunità di provocare danni non mancano. I siti Web più grandi, che potrebbero disporre di dati che vanno dalla tua carta di credito al numero di previdenza sociale, sono ovviamente ancora più appetibili per gli hacker, dal momento che informazioni come queste sono una fonte certa di guadagni. Anche elementi come i dati sanitari o l'affidabilità creditizia possono essere utili per i criminali informatici, che possono usarli per creare email di "spear-phishing" estremamente convincenti con l'obiettivo di sottrarre denaro agli utenti.
Per quanto riguarda come accadono le violazioni, ci sono tanti modi per arrivare a queste miniere di dati. Gli hacker possono:
-
Inviare un'ondata di e-mail di phishing: basta un solo dipendente abbastanza ingenuo da fare clic sul collegamento per ottenere l'accesso.
-
Inserire unità USB infette nella sede di un'azienda.
-
Approfittare del software spesso obsoleto a cui si affidano queste aziende.
-
Corrompere o convincere un ex dipendente o un dipendente attuale a consentire l'accesso.
-
Rilevare le vulnerabilità nell'infrastruttura di sicurezza.
-
Fingersi partner commerciali e chiedere di consultare i dati.
E questa è solo la punta dell'iceberg. Gli hacker sono infinitamente creativi quando si tratta di strategie di guadagno. Ma c'è una buona notizia in tutto questo...
È possibile minimizzare i rischi
Se è vero che il rischio di fughe di dati non si può mai azzerare del tutto, ci sono alcune misure che è possibile prendere per garantire che, nel caso si rimanga vittima di una violazione, le conseguenze non siano disastrose... o almeno, non così disastrose.
1. Riduci al minimo i dati su di te
In rete esistono tantissimi dati su di te. Alcuni li hai forniti volontariamente e in modo consapevole, come l'indirizzo email o il nome completo specificato per creare un account su Linkedin. Nella maggior parte dei casi, tuttavia, non hai minimamente idea dell'esistenza di queste informazioni. Google, Facebook e un'infinità di altre aziende ottengono guadagni raccogliendo dati su di te nei modi più inusuali e inaspettati: usano strategie e strumenti di tracciamento che permettono di acquisire qualsiasi tipo di informazioni, dalle abitudini di acquisto ai dati sanitari.
Fortunatamente gran parte di questi dati è in forma anonima: il più delle volte le aziende non sono interessate a te, ma a dati, tendenze e informazioni demografiche. Desiderano conoscere la percentuale del target che potrebbe avere il diabete, non sapere se un utente specifico ne soffre. Questo tipo di dati non è di alcun interesse per un hacker, quindi, in caso di fughe di dati, non c'è da preoccuparsi. Purtroppo, però, i dati non nascono in forma anonima. Se si verifica una violazione prima che i dati siano stati resi anonimi, abbiamo un serio problema.
Per fortuna esiste un modo per ridurre al minimo questi dati. Utilizzando una VPN e un servizio anti-tracking, è possibile rendere inutili molti degli strumenti (anche se non tutti) usati da questi siti Web e aziende per seguirti e raccogliere i tuoi dati. Oltre a ottenere una maggiore privacy durante la navigazione, se un servizio online subisse una violazione (notizia non necessariamente resa nota, poiché molte aziende non amano condividere le proprie disavventure in fatto di sicurezza informatica), molto probabilmente non verranno divulgati dati di cui non sei a conoscenza.
Non è certo una garanzia di sicurezza, ma è pur sempre un inizio.
2. Usa 10MinuteMail per la creazione degli account
10MinuteMail è un servizio gratuito che crea un indirizzo email valido ma temporaneo, che esiste solo per 10 minuti.
Non è pensato per scambiare email con i propri contatti, ma è perfetto per configurare e convalidare account online, mantenendo nascosto il tuo vero indirizzo email. Sarai comunque in grado di accedere all'account configurato dopo la scadenza del tuo indirizzo 10MinuteMail e, se il servizio o il sito Web dovesse subire una violazione, tutto ciò che otterranno gli hacker sarà un account email inutile e inattivo, che non può essere associato ad altri servizi.
È anche un ottimo modo per evitare lo spam. Tanto per dire.
3. Prova a usare una carta digitale per gli acquisti online
Se qualsiasi tipo di fuga di dati rappresenta un problema, senza dubbio alcuni dati, come i numeri di carte di credito o i dati bancari, sono più problematici (e importanti) di altri.
Purtroppo però è inevitabile mettere a rischio questi dati per utilizzare servizi o effettuare acquisti online...
O forse no. I servizi come Privacy.com offrono un'interessante alternativa per mantenere al sicuro i dati della carta di credito o di debito se nel sito Web in cui fai acquisti dovessero verificarsi violazioni o fughe di dati. Questi servizi creano una "carta di credito digitale" univoca per ogni sito in cui vuoi fare acquisti. Puoi pre-caricare su queste carte una certa somma di denaro e, ogni volta che acquisti, utilizzare tali carte anziché la tua vera carta. In caso di fughe di dati, i tuoi dati reali saranno al sicuro, mentre la versione digitale divulgata può essere facilmente distrutta e sostituita con una nuova carta sicura al 100%.
È un buon modo per tutelare almeno alcune delle tue informazioni più importanti.
4. Configura un avviso Google
Se da un lato non puoi fare nulla per garantire la sicurezza dei servizi e dei siti Web che usi, dall'altro puoi essere pronto a reagire quando dovessero verificarsi violazioni. Un buon modo per farlo è impostare un avviso Google per "fuga di dati" o "violazione dei dati". Riceverai numerose notizie e collegamenti sull'argomento, ma sarai anche avvisato entro 24 ore in caso di violazione di un nuovo servizio o sito Web.
Consulta gli articoli. Anche se non hai mai sentito parlare del sito o del servizio che ha subito una violazione e sei completamente sicuro di non avervi mai eseguito l'accesso, esiste una possibilità, per quanto piccola, che anche lì possano essere presenti dati su di te. Cerca di ottenere informazioni sui dati divulgati o sui soggetti potenzialmente coinvolti. Potresti restare sorpreso da quanto la questione ti tocchi direttamente.
Se invece hai già sentito parlare del sito o servizio in cui si è verificata la violazione, è estremamente importante capire quali informazioni sono state divulgate in modo da poter adottare le misure di sicurezza appropriate. In ogni caso, una cosa che dovresti sempre fare, a prescindere, è cambiare la password per qualsiasi account collegato al sito violato... e per tutti gli altri account che potrebbero condividere la stessa password.
Lo abbiamo già detto e continueremo a ripeterlo: le password non devono essere riutilizzate.
5. Non perdere tempo
Hai scoperto che c'è stata una fuga di dati e che sono stati divulgati alcuni dati fondamentali, come numeri di carte di credito o password.
Non esitare a chiamare chi di dovere e ad apportare le opportune modifiche. Fallo subito.
Se le aziende fossero disposte ad ammettere le violazioni nel momento in cui si verificano, avresti più margine d'azione. Dopo tutto, il più delle volte, i dati divulgati sono criptati e gli hacker hanno bisogno di tempo per decriptarli prima di poterli usare. In genere, però, nel momento in cui le aziende scoprono che c'è stata una violazione (o si decidono ad ammetterlo), sono già passati alcuni mesi, non lasciandoti alcuna possibilità di temporeggiare.
Dovrai quindi annullare la carta di credito, richiedere il monitoraggio del credito e aggiornare le password non appena ricevi la notizia e capisci che la violazione interessa anche te. Potrà anche essere fastidioso, ma una volta che i tuoi dati sono stati divulgati, la questione non è se verrai colpito, ma quando. Prendi provvedimenti il prima possibile per ridurre al minimo i rischi ed evitare possibili macchinazioni ai tuoi danni, da una semplice campagna di spam al furto di identità.
Concludendo
Finché le aziende faranno soldi raccogliendo e utilizzando i tuoi dati, le violazioni continueranno a esistere. È una conseguenza inevitabile del nostro mondo connesso e totalmente dipendente dalla tecnologia. A parte avviare un'azienda di sicurezza tutta tua o diventare un hacker "white-hat", non c'è molto che puoi fare per impedirlo. Considera questi eventi come catastrofi naturali: non puoi controllarli o prevederli, puoi solo farti trovare preparato e reagire tempestivamente. Forse non ti salverà la vita, ma ti aiuterà a evitare stress e perdite di denaro.
O almeno si spera.