21 Febbraio 2024

… e poi una mattina scopri che ti stanno violando l’account.

Come si dice? “Capita anche ai migliori” e a me è capitato proprio ieri mattina, quando improvvisamente né il telefono né i miei computer riuscivano ad accedere al mio account Outlook, dunque nemmeno a OneDrive e agli altri servizi collegati. La mia password non veniva più riconosciuta e tutto era assolutamente inspiegabile.

La prima cosa che si farebbe a questo punto, sarebbe cliccare su “Ho dimenticato la password” e confidare nell’invio di un link per il recupero o il ripristino della password. Normalmente questa è un’operazione che spesso si fa a occhi chiusi poiché si è convinti di aver comunicato correttamente un indirizzo e-mail alternativo. Fortunatamente Microsoft è un’azienda seria, attentissima alla protezione dei propri utenti, e prima di inviare il link per il ripristino, mostra una schermata che avvisa a quale indirizzo e-mail sarà indirizzato il link. Nel mio caso, in luogo dell’indirizzo alternativo che aveva comunicato all’iscrizione, ho ritrovato l’indirizzo go*****@sina.cn. Invece che proseguire con il recupero, colpito dal fatto che fosse registrato un indirizzo e-mail non mio, ho cliccato sul link “non possiedo queste informazioni“; a quel punto mi è stato chiesto di confermare quella scelta con un codice via SMS sul cellulare e solo dopo ho potuto indicare a quale indirizzo e-mail inviare il link per il recupero password.

Effettuata tutta l’operazione e creata una nuova password (meglio: una passphrase), ho fatto alcune riflessioni. Se fossi stato sbadato o un po’ meno sveglio, probabilmente avrei inviato il link per il recupero della password a quell’indirizzo cinese e avrei messo tutto (ribadisco: TUTTO) nelle mani di un perfetto sconosciuto.

Ancora fortunatamente, io salvo su OneDrive solo archivi cifrati con CZIP X (https://czip.it), pertanto, quand’anche fosse entrato, l’estraneo si sarebbe ritrovato una serie di archivi inutilizzabili senza la corretta chiave per la decifratura; tuttavia ho capito che non vi è stato alcun accesso abusivo ma solo una serie di tentativi d’accesso, tutti falliti, che hanno indotto l’account a autoproteggersi.

Assicuratomi che tutto fosse a posto, sono andato a verificare nel pannello di gestione della sicurezza del mio account e ho scoperto questo:

Tutto è iniziato alle 18.39 di sabato 23 maggio – poi non ho toccato computer e telefono fino a lunedì mattina – e subito noto l’origine del tentativo d’accesso fallito: Ucraina. La puzza di proxy, però, si avvertiva forte e, infatti…

L’estraneo ha usato un proxy pubblico ucraino. Un cinese che usa un proxy Ucraino? E perché no? A me, però, non interessa capire da dove è arrivato l’attacco e come diavolo ha fatto ad alterare l’indirizzo e-mail per il recupero della password; mi interessa, piuttosto, incrementare la protezione dei miei dati, quindi ho iniziato a cambiare tutte le password dei miei account, anche quelli che nulla c’entrano con l’account Microsoft.

Questa è l’occasione per ribadire le regole fondamentali per la tutela dei propri account:

  1. cambiare spesso le password e preferire l’uso di passphrase in luogo delle combinazioni alfanumeriche complesse;
  2. attivare l’autenticazione a due fattori (2FA);
  3. verificare che il proprio account non sia stato in qualche modo manomesso – almeno una volta al mese bisogna rivedere le impostazioni della sicurezza;
  4. verificare che il nostro indirizzo e-mail non sia rimasto coinvolto in un data breach.

Ecco, l’ultimo punto… Andando sul sito https://haveibeenpwned.com/ ho scoperto che il mio indirizzo di outlook.com è coinvolto nel data breach del sito Slickwraps.com, un sito dal quale acquistai nel 2018 una skin per personalizzare il mio Galaxy S9+. Il data breach risale al febbraio 2020 ma tutto ciò mi consente di aggiungere una nuova regola alla quattro precedenti:

5) quando si acquista da un sito con e-commerce proprietario (non e-bay o Amazon, quindi), meglio usare un indirizzo e-mail creato apposta per l’acquisto oppure chiedere la cancellazione dell’account subito dopo l’acquisto.

Sia la mia esperienza un monito per tutti quelli che… “chi vuoi che s’interessi dei miei dati?

About Author