Sicurezza a rischio con Microsoft Docs.com?

Condividere i documenti sui vari servizi cloud, lo sappiamo tutti, è comodissimo. Possiamo mantenere un backup remoto dei nostri file, mettendoci al sicuro dai crash improvvisi del computer.1
Possiamo lavorare su computer diversi, ritrovando il documento esattamente nello stato in cui lo avevamo lasciato.
Possiamo perfino lavorare con altre persone sullo stesso documento senza bisogno di essere fisicamente vicini.

Ci sono rischi per la privacy e in teoria è possibile che dei documenti riservati finiscano in mani sbagliate o vengano occhieggiati dagli stessi gestori del servizio cloud.
Ma, per quanto se ne sa, la diffusione di documenti privati è sempre avvenuta finora attraverso il furto delle credenziali di accesso del servizio cloud usato dalla (o dal) malcapitata.

Docs.com

OneDrive è l’equivalente Microsoft di iCloud di Apple o di Google Docs, una piattaforma dove si possono salvare i propri documenti e modificarli con le versioni online di Word, Excel, PowerPoint e OneNote.

In parallelo a OneDrive, Microsoft ha anche messo a punto Docs.com, un servizio di condivisione gratuita dei documenti presenti su OneDrive o caricati dal proprio computer.

Ogni volta che si condivide un documento si può decidere se renderlo pubblico, accessibile a chiunque e indicizzabile dai motori di ricerca, oppure privato, e quindi visibile solo da chi dispone di un collegamento diretto al documento stesso.

Negli ultimi giorni qualcuno ha scoperto che su Docs.com sono liberamente accessibili anche parecchi documenti contenenti informazioni riservate. La notizia è rimbalzata immediatamente da Twitter ai siti specializzati e a quelli della stampa generica, montando il solito scandalo planetario circa la sicurezza del cloud in generale e di Docs.com in particolare.

Ho provato anch’io a cercare qualche documento compromettente su Docs.com e in effetti ho trovato cose che non avrei dovuto vedere: la diagnosi di un radiologo, una richiesta di risarcimento danni di uno studio legale, il backup degli SMS di uno smartphone, tanto per fare alcuni esempi (nelle immagini che seguono ho cancellato i riferimenti personali, anche se ormai la frittata è stata fatta).



Fra tantissime cose innocue, si trovano anche delibere di enti pubblici, attestati, curriculum vitae, esami diagnostici, contratti, atti legali. Tutte informazioni che non si dovrebbero mettere in giro, esposte agli occhi di chiunque.

Ma di chi è la colpa?

La colpa è di Microsoft, che ha scelto come opzione di default la condivisione pubblica del documento, cioè l’opzione meno restrittiva e più aperta a possibili rischi?

Oppure la colpa è degli stessi utenti, che fanno sempre tutto di fretta e non si preoccupano di perdere pochi secondi a leggere e a riflettere su quello che stanno facendo?

Mettiamo alla prova Docs.com

Per verificare di persona, sono entrato nel mio account su OneDrive (ne ho uno anch’io, lo uso soprattutto per le presentazioni, che così posso modificare e scaricare fino all’ultimissimo momento) e ho creato due due semplicissimi documenti in Word, uno da mantenere riservato, l’altro destinato ad essere condiviso pubblicamente. Ciascun documento contiene un breve testo di presentazione e due parole inventate di sana pianta, in modo da facilitare la ricerca su Docs.com e sui vari motori di ricerca.

Poi ho fatto il login in Docs.com e ho condiviso i due documenti da OneDrive, stando ben attento a come configuravo ciascuno dei due.


Configurando il primo documento come privato (“con limitazioni”) non succede niente di particolare, ma quando rendo pubblico l’altro file, Docs.com salta su e mi avvisa chiaramente di quello che sto facendo, consigliandomi di non condividere pubblicamente sul web documenti contenenti informazioni personali riservate. Sta a me leggere e decidere per il meglio (e soprattutto non spuntare l’opzione per non visualizzare più il messaggio).

Poiché sono malfidente non mi sono fermato qui. Ho aspettato un paio di giorni, per dare tempo a Docs.com di indicizzare i miei file, e poi ho fatto una ricerca usando come parole chiave le parole inventate dei due documenti.

La ricerca l’ho fatta senza fare prima login in Docs.com, in modo da imitare quello che potrebbe fare un utente ficcanaso, alla ricerca di informazioni riservate nel servizio di condivisione di Microsoft.

Risultato: come previsto Docs.com trova facilmente il documento pubblico, mentre il documento configurato come privato rimane giustamente ben nascosto ed accessibile solo da me o da chi viene autorizzato esplicitamente da me. Google invece non trova assolutamente niente, non credo che due giorni siano troppo pochi, è più probabile che Microsoft impedisca a Google di accedere ai file del suo servizio di condivisione.

Provo allora ad usare Bing, il motore di ricerca di Microsoft. Come volevasi dimostrare, Bing trova subito il documento pubblico ma non trova (come deve essere) quello privato. Non mi piace particolarmente questa guerra a colpi di motori di ricerca, ma per fortuna la privacy è salva.

Conclusioni

Quando c’è di mezzo la Microsoft ci sono spesso magagne, problemi, scopiazzature, assurdità. Tutte cose che ho messo in evidenza più di una volta, anche su questo blog.

Ma in questo caso specifico, basterebbe solo fare un po’ di attenzione per evitare problemi.

Il succo dello scandalo è banale: tanti utenti non si sono curati di quello che stavano facendo e, nonostante gli avvisi, hanno condiviso pubblicamente dei documenti che sarebbe stato molto meglio mantenere riservati.

Gli sviluppatori Microsoft forse sono stati un po’ leggeri nello scegliere come opzione di default quella che rende il documento pubblico, ma dato che Docs.com è un servizio di condivisione di documenti, mi sembra normale aspettarsi che chi condivide un file lo voglia rendere accessibile a chiunque.

Sta all’utente usare un minimo di attenzione per decidere cosa condividere, quali documenti possono essere resi pubblici e quali è meglio che rimangano riservati. Ogni volta che seleziona un file da includere in Docs.com, l’utente viene avvisato chiaramente di quello che sta facendo. Se, nonostante tutto, non si cura di leggere i messaggi di avviso e di usare il cervello, possiamo dare la colpa alla Microsoft per questo?

Sarebbe come se qualcuno incolpasse Facebook per essere stato licenziato dopo aver postato sul suo profilo foto di vacanze o di pranzi pantagruelici mentre in teoria dovrebbe essere al lavoro.

Una minima attenzione a quello che si fa su internet è non solo necessaria ma anche doverosa. Non pensare alle conseguenze di quello che si fa e avere pure il coraggio di lamentarsi mi sembra francamente una cosa insensata.


  1. Che avvengono sempre ne momenti meno indicati. 
Annunci
Tagged with: , , , , , , ,
Pubblicato su software
7 comments on “Sicurezza a rischio con Microsoft Docs.com?
  1. frix ha detto:

    Bene, bravo, bis!
    Trasparetutta l’anima vera del ricercatore.

    MS potrebbe però avere un responsabiltà oggettiva?
    Sì se è vero che ha cistruito per anni sistemi operativi che ogni tre digiti ti spara(va?) fuori una finestrella di alert, spesso inutile.
    Ok magari una mano gliela davano i software progettati maluccio.

    Mi piace

    • Sabino Maggi ha detto:

      Certo, Microsoft ha grosse colpe nella cattiva educazione tecnica degli utenti. Però è altrettanto vero che, da quanto vedo, tanta gente, quando usa il computer (o il telefono, e non solo), sembra totalmente inconsapevole delle conseguenze di quello che fa.
      C’è proprio bisogno di postare la foto di quello che stai mangiando al ristorante se hai detto a tua moglie che sei in ufficio a lavorare fino a tardi?

      Mi piace

  2. Piero ha detto:

    Facendo una prova a caso ho addirittura trovato ebook e codici seriali.

    Mi piace

  3. frix ha detto:

    non sono i miei…..lo giuro!

    Mi piace

  4. Piero ha detto:

    Diciamo che i contenuti lasciano un po’ a desiderare: un corso di astrologia del 1972 che a me non serve perché purtroppo non credo in queste cose e un seriale di un programma per scrivere formule che non so che farmene visto che uso LaTeX.

    Liked by 1 persona

  5. Sabino Maggi ha detto:

    Non si può pretendere troppo, dai. In fondo sono utenti MS… 🙂

    Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: