Cerca nel blog

2015/12/04

Perché i giocattoli digitali mandano ai loro fabbricanti le foto dei bambini?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/12/05 17:30.

Un intruso informatico è entrato nei server della VTech, una società con sede a Hong Kong che fabbrica tablet, telefonini, gadget e giocattoli collegabili a Internet, e ha scoperto che la società archiviava nomi, indirizzi di e-mail, password e indirizzi di casa di milioni di acquirenti e i nomi e le voci e le foto dei loro figli. Disgustato dalla scoperta, l’incursore digitale l’ha segnalata ai giornalisti di Motherboard, che hanno reso pubblica questa violazione su vasta scala della fiducia degli utenti.

VTech ha confermato pubblicamente la vicenda, ma senza rivelarne con chiarezza la reale portata o le implicazioni, che sono davvero notevoli: per esempio, dato che le password degli utenti erano custodite dalla VTech con un sistema di protezione facilmente scavalcabile, è facile per un aggressore ricavare queste password, abbinarle all’indirizzo di mail dello specifico utente e poi tentare di rubare all’utente l’account di mail contando sul fatto che molti usano ripetutamente la stessa password per tutti i propri servizi online. Inoltre la disponibilità dell’indirizzo di casa e delle foto dei minori spalanca la porta a intrusioni e ricatti.

Soprattutto la domanda di fondo è cosa se ne faccia, una società come VTech, di questi dati personali degli utenti. La risposta tecnica è che li raccoglie per offrire il suo servizio Kid Connect, che consente ai genitori di chattare via smartphone con i figli che usano per esempio un tablet della VTech. Ma questi servizi si possono anche realizzare senza custodire i dati degli utenti in modo così insicuro.

Purtroppo questo approccio disinvolto alla raccolta di dati e alla loro custodia è molto diffuso fra le aziende che si sono buttate da poco nell’informatica seguendo la moda della cosiddetta “Internet delle cose”. Meglio allora evitare i giocattoli digitali che si connettono a Internet.

Se avete acquistato un dispositivo VTech e volete sapere se siete coinvolti in quest’ennesima violazione, consultate HaveIBeenPwned, sito dedicato alla raccolta di informazioni sulle violazioni informatiche di massa che offre un servizio nel quale si può immettere un indirizzo di mail (per esempio il proprio o quello dei figli) per sapere se è stato coinvolto in qualcuna di queste violazioni.

Nessun commento: