… e poi una mattina scopri che ti stanno violando l’account.

Condividi:

Come si dice? “Capita anche ai migliori” e a me è capitato proprio ieri mattina, quando improvvisamente né il telefono né i miei computer riuscivano ad accedere al mio account Outlook, dunque nemmeno a OneDrive e agli altri servizi collegati. La mia password non veniva più riconosciuta e tutto era assolutamente inspiegabile.

La prima cosa che si farebbe a questo punto, sarebbe cliccare su “Ho dimenticato la password” e confidare nell’invio di un link per il recupero o il ripristino della password. Normalmente questa è un’operazione che spesso si fa a occhi chiusi poiché si è convinti di aver comunicato correttamente un indirizzo e-mail alternativo. Fortunatamente Microsoft è un’azienda seria, attentissima alla protezione dei propri utenti, e prima di inviare il link per il ripristino, mostra una schermata che avvisa a quale indirizzo e-mail sarà indirizzato il link. Nel mio caso, in luogo dell’indirizzo alternativo che aveva comunicato all’iscrizione, ho ritrovato l’indirizzo go*****@sina.cn. Invece che proseguire con il recupero, colpito dal fatto che fosse registrato un indirizzo e-mail non mio, ho cliccato sul link “non possiedo queste informazioni“; a quel punto mi è stato chiesto di confermare quella scelta con un codice via SMS sul cellulare e solo dopo ho potuto indicare a quale indirizzo e-mail inviare il link per il recupero password.

Effettuata tutta l’operazione e creata una nuova password (meglio: una passphrase), ho fatto alcune riflessioni. Se fossi stato sbadato o un po’ meno sveglio, probabilmente avrei inviato il link per il recupero della password a quell’indirizzo cinese e avrei messo tutto (ribadisco: TUTTO) nelle mani di un perfetto sconosciuto.

Ancora fortunatamente, io salvo su OneDrive solo archivi cifrati con CZIP X (https://czip.it), pertanto, quand’anche fosse entrato, l’estraneo si sarebbe ritrovato una serie di archivi inutilizzabili senza la corretta chiave per la decifratura; tuttavia ho capito che non vi è stato alcun accesso abusivo ma solo una serie di tentativi d’accesso, tutti falliti, che hanno indotto l’account a autoproteggersi.

Assicuratomi che tutto fosse a posto, sono andato a verificare nel pannello di gestione della sicurezza del mio account e ho scoperto questo:

Tutto è iniziato alle 18.39 di sabato 23 maggio – poi non ho toccato computer e telefono fino a lunedì mattina – e subito noto l’origine del tentativo d’accesso fallito: Ucraina. La puzza di proxy, però, si avvertiva forte e, infatti…

L’estraneo ha usato un proxy pubblico ucraino. Un cinese che usa un proxy Ucraino? E perché no? A me, però, non interessa capire da dove è arrivato l’attacco e come diavolo ha fatto ad alterare l’indirizzo e-mail per il recupero della password; mi interessa, piuttosto, incrementare la protezione dei miei dati, quindi ho iniziato a cambiare tutte le password dei miei account, anche quelli che nulla c’entrano con l’account Microsoft.

Questa è l’occasione per ribadire le regole fondamentali per la tutela dei propri account:

  1. cambiare spesso le password e preferire l’uso di passphrase in luogo delle combinazioni alfanumeriche complesse;
  2. attivare l’autenticazione a due fattori (2FA);
  3. verificare che il proprio account non sia stato in qualche modo manomesso – almeno una volta al mese bisogna rivedere le impostazioni della sicurezza;
  4. verificare che il nostro indirizzo e-mail non sia rimasto coinvolto in un data breach.

Ecco, l’ultimo punto… Andando sul sito https://haveibeenpwned.com/ ho scoperto che il mio indirizzo di outlook.com è coinvolto nel data breach del sito Slickwraps.com, un sito dal quale acquistai nel 2018 una skin per personalizzare il mio Galaxy S9+. Il data breach risale al febbraio 2020 ma tutto ciò mi consente di aggiungere una nuova regola alla quattro precedenti:

5) quando si acquista da un sito con e-commerce proprietario (non e-bay o Amazon, quindi), meglio usare un indirizzo e-mail creato apposta per l’acquisto oppure chiedere la cancellazione dell’account subito dopo l’acquisto.

Sia la mia esperienza un monito per tutti quelli che… “chi vuoi che s’interessi dei miei dati?