Grazie per le informazioni che non mi dai

Google, io capisco che tu mi voglia tanto bene da avvisarmi che «È stata rilevata la compromissione di una o più password salvate nel tuo Account Google». (non puoi sapere che quella è una password che non serve a nulla). Ma a questo punto non mi dici «da parte di un sito o un’app che utilizzi» ma mi dici anche quale sito. (Sicuramente c’è stato canva, ma quello lo sapevo già da solo visto lo spam che mi arriva). Altrimenti sei omertoso.

8 comments

  1. Non è omertoso, la risposta è qui:

    https://support.google.com/accounts/answer/9457609?hl=en

    “Compromised passwords and username combinations are unsafe because they’ve been published online. We recommend that you change any compromised passwords as soon as you can.”

    alias, è contenuta in un elenco pubblicato nei vari forum dedicati, ed è la fonte dal quale eventuali attività più o meno illecite vengono poi condotte, e naturalmente nessuno, neanche la grande G, può sapere da chi.

    Per la cronaca, da mooolto tempo prima che big G ci pensasse sono iscritto a https://haveibeenpwned.com/, che fa un servizio assolutamente analogo e molto apprezzato. Apprezzalo anche tu, invece di sputarci sopra.

    • infatti haveibeenpwned ti dice anche *dove* sono state trovate le password.

      • Curiosità a parte, una volta che hai questa informazione, che ci fai? Ti posso garantire che non ha alcuna utilità, una volta che arrivano lì user/pwd sono note globalmente da migliaia di soggetti diversi.

        L’unica volta che mi sono servito di questa informazione è per provare a farmi un account in uno dei suddetti forum, sempre per curiosità, si intende. Ma non mi sembra una opzione che il 99.9999% dell’utenza possa o debba percorrere, non trovi?

        Io questa non la classifico omertà, se permetti.

        • Hai ragione, mi sono spiegato male. Non mi interessa un fico secco sapere su quale sito sono presenti i miei dati. Come ho scritto nel post, a me interessa sapere da dove sono stati trovati per poi essere pubblicati in quei siti. (Per esempio, uno dei miei indirizzi “strani” arriva da un data breach di Dropbox). Serve a qualcosa saperlo? A me sì, anche per capire quanto fidarmi. Quei siti dovrebbero comunque avvisarti secondo quanto richiede il GDPR? Sì, ma non è detto che a cada davvero.

          • Tieni presente che non sempre è nota la fonte (nel senso da quale sito sono stati exfiltrati i dati). In alcuni casi, analizzando i dati contenuti in un dump si può ipotizzare la fonte, ma mica sempre. Insomma non è affatto detto che sia possibile saperlo.

            Te lo dice uno che ne ha visti diversi, anche non noti in maniera massiva come quelli di linkedin e dropbox.

            In generale quelli di attribuzione certa sono quelli resi pubblici dopo un ransomware non pagato, dove vengono deliberatamente lasciate informazioni accessorie in modo da mettere alla berlina il sito del malcapitato. In altri casi però si fa in modo di occultare l’origine strippando i dati a disposizione e rimacinandoli in modo da preservare le fonti per riutilizzare in futuro il materiale e/o i modi per prenderlo.

  2. Mi sembra che nell’apposito tool ti dice per quali account i dati sono compromessi.