Video pornografico irrompe in convegno Zoom di senatori italiani: password pubblicata dagli organizzatori

Screenshot parzialmente oscurato da me.

L’occasione è molto seria: un convegno sul tema della pubblica amministrazione trasparente e del recepimento della direttiva UE Public Sector Information, organizzato online su Zoom da un movimento politico italiano e trasmesso dalla Web TV del Senato della penisola in diretta il 17 gennaio scorso. Fra gli ospiti c’è anche il premio Nobel 2021 per la fisica Giorgio Parisi.

A un certo punto del convegno, sullo schermo dell’austera Sala dei Presidenti di Palazzo Giustiniani e sui monitor dei relatori collegati via Zoom e del pubblico che sta seguendo il convegno tramite Internet compare un video molto esplicito: un’animazione digitale che mostra le attività intime di un personaggio che molti gamer avranno riconosciuto immediatamente. È Tifa Lockhart di Final Fantasy VII.

Le immagini rimangono sullo schermo per un’interminabile manciata di secondi nel silenzio e nel gelo dei partecipanti, intanto che la regia del convegno tenta disperatamente di eliminare dallo schermo il video, nel quale gli osservatori più attenti e impassibili noteranno l’indirizzo del suo creatore, l’animatore digitale juicyneko. La regia cerca di rimuovere dalla sessione Zoom l’intruso, anzi gli intrusi che sono entrati nella riunione e hanno sommerso la relatrice non solo con immagini poco pertinenti ma anche con grida in lingua straniera fortemente distorte (se qualcuno riesce a decifrarle, me lo segnali nei commenti) e poi con un video musicale tratto da YouTube.

L’intero incidente è stato immortalato sul sito di Radio Radicale qui (dal minuto 26 in poi; immagini ovviamente non adatte a un pubblico sensibile).

La senatrice Maria Laura Mantovani, che ha aperto il convegno, ha dichiarato che si è trattato di “un episodio gravissimo, un vero e proprio attacco” e ha annunciato che avrebbe sporto denuncia alla polizia postale italiana.

Può sembrare strano e preoccupante che degli intrusi riescano a violare la sicurezza di un sito istituzionale e a irrompere in una riunione politica, ma c’è un dettaglio che potrebbe ridimensionare parecchio la vicenda. 

L’informatico Andrea Lazzarotto ha infatti notato che il link per collegarsi al convegno tramite Zoom era stato pubblicato alcuni giorni prima sui social network dalla senatrice stessa (e, notano altri, anche da un suo collega, il senatore Mario Turco), con tanto di passcode, ossia il codice numerico necessario per accedere a una riunione Zoom. Il link era https://us02web.zoom.us/84618000732 e il passcode era 631228.

Durante un convegno, la senatrice #M5S Maria Laura Mantovani ha lamentato l'accesso di un tale che ha riprodotto un porno in computer grafica.

Ma come avrà fatto l'ignoto a introdursi nella videoconferenza #Zoom? L'immagine suggerisce un'ipotesi... https://t.co/L5IpzbTDAT pic.twitter.com/RAorFRcYre

— Andrea Lazzarotto (@thelazza) January 19, 2022

Con questo link e questo passcode e senza le opportune impostazioni restrittive di Zoom, irrompere nel convegno sarebbe stata solo questione di cliccare sul link e digitare il codice, sperando che la regia non si accorgesse che nella sala d’attesa virtuale c’erano degli utenti non previsti e li ammettesse alla riunione. C’è chi fa notare che la senatrice ha un notevole curriculum informatico e quindi critica questa sua decisione di pubblicare link e passcode, ma è probabile che ci sia stata una sequenza di errori commessi anche da altri.

La dinamica dettagliata dell’incursione non è stata ancora resa nota, ma sulla base di quello che si sa fin qui non sembra che si sia trattato di un attacco particolarmente sofisticato dal punto di vista tecnico.

Si tratterebbe insomma di un semplice caso molto visibile di zoombombing: vandali che entrano in videoconferenze i cui codici di accesso sono stati incautamente pubblicati dagli organizzatori.

Ma come si fa a evitare questo tipo di incidente? Ci sono alcune precauzioni fondamentali, che conviene ripassare a chiunque abbia intenzione di organizzare videoconferenze con qualunque piattaforma, da Zoom a Teams.

• Se si tratta di una riunione chiusa, nella quale tutti i partecipanti devono poter parlare e condividere il proprio video e delle immagini, come avviene per esempio nelle lezioni scolastiche a distanza, le coordinate della riunione non vanno assolutamente pubblicate ma vanno date in privato soltanto a quei partecipanti, con la raccomandazione di non condividerli con nessuno al di fuori dei partecipanti stessi.
• Se invece la videoconferenza prevede un certo numero di partecipanti che parlano e condividono video e immagini e un numero più ampio di persone che possono soltanto assistere senza poter intervenire, allora ci sono due soluzioni: usare l’apposita modalità webinar di Zoom oppure diffondere in streaming la videoconferenza su Facebook, Twitch o Youtube, e dare al pubblico soltanto il link che porta a questo streaming. 
• Se si usa la modalità webinar di Zoom, il link può essere pubblicato tranquillamente, perché soltanto chi entra nella videoconferenza con gli specifici account Zoom preventivamente impostati dalla regia come relatori può apparire in video e condividere immagini.

Attenzione: molti amministratori di sessioni Zoom pensano che per evitare problemi di condivisione di video imbarazzanti sia sufficiente bloccare in Zoom la condivisione di immagini, ma non è così: un utente molesto può infatti virtualizzare la propria webcam, per cui se ha la possibilità di apparire in video con il proprio volto nella riunione può facilmente mostrare un video al posto della propria immagine.

Gli strumenti per fare videoriunioni in sicurezza e senza interruzioni imbarazzanti ci sono, insomma: basta usarli e farli usare.