{"id":15745,"date":"2019-07-10T05:51:17","date_gmt":"2019-07-10T13:51:17","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2019\/07\/10\/news-9492\/"},"modified":"2019-07-10T05:51:17","modified_gmt":"2019-07-10T13:51:17","slug":"news-9492","status":"publish","type":"post","link":"http:\/\/www.palada.net\/index.php\/2019\/07\/10\/news-9492\/","title":{"rendered":"WeTransfer invia i link dei file dell\u2019utente alle persone sbagliate"},"content":{"rendered":"

Credit to Author: Sophos Italia| Date: Fri, 05 Jul 2019 05:42:58 +0000<\/strong><\/p>\n

\n

Fondata nel 2009, WeTransfer consente agli utenti di trasferire gratuitamente file di grandi dimensioni. Si tratta di un’alternativa ai servizi di posta elettronica, che in genere pongono limitazioni alle dimensioni del file. I suoi utenti sono 50 milioni, mentre sono un miliardo di file quelli inviati ogni mese, pari a un petabyte (1.000 terabyte) di dati.<\/p>\n

Il servizio, che \u00e8 diventato redditizio nel 2013, fornisce la sua versione gratuita attraverso un modello pubblicitario. Offre inoltre un servizio “Plus” a pagamento che consente agli utenti di proteggere i propri file con password.<\/p>\n

Il 21 giugno 2019 WeTransfer ha pubblicato un avviso di sicurezza<\/a> relativo a un incidente scoperto cinque giorni prima, luned\u00ec 17 giugno 2019.<\/p>\n

Secondo l\u2019avviso, il problema si \u00e8 verificato gi\u00e0 il 16 giugno 2019, e aggiunge:<\/p>\n

le e-mail che supportano i nostri servizi sono state inviate a indirizzi e-mail non voluti. Attualmente stiamo avvisando gli utenti potenzialmente interessati e abbiamo informato le autorit\u00e0 competenti.<\/em><\/p>\n

Inoltre la societ\u00e0 ha comunicato di aver bloccato i link e gli account degli utenti.<\/p>\n

Lo stesso giorno in cui \u00e8 apparso l’avviso di sicurezza, Jamie Brown, CEO del sito di moda Chicmi, ha twittato una notifica diretta che WeTransfer gli aveva inviato:<\/p>\n

\"\"<\/a><\/p>\n

La parte spaventosa:<\/p>\n

Abbiamo appreso che anche il trasferimento di file inviato o ricevuto \u00e8 stato consegnato ad alcune persone a cui non era destinato. I nostri documenti mostrano che questi file sono stati scaricati, ma quasi certamente dal destinatario corretto.<\/em><\/p>\n

“Quasi certamente” non \u00e8 esattamente rassicurante.<\/p>\n

Brown ha dichiarato a Naked Security che l’incidente ha colpito una serie di foto che un cliente gli aveva inviato il 16 giugno 2019. Ha aggiunto:<\/p>\n

Per fortuna utilizziamo principalmente WeTransfer per l’invio e la ricezione di foto di brand da utilizzare su Chicmi.com, quindi sono per lo pi\u00f9 destinate al pubblico dominio e il peggio che potrebbe accadere \u00e8 la violazione di un embargo per un evento imminente.<\/em><\/p>\n

Tuttavia sono sicuro che altri non sono cos\u00ec rilassati riguardo alla questione, tenendo presente il modo in cui viene utilizzato il servizio!<\/em><\/p>\n

Il servizio rivale Tresorit \u00e8 stato veloce a cavalcare l\u2019incidente:<\/p>\n

\"\"<\/a><\/p>\n

Anche se sta ovviamente cercando di promuovere il proprio servizio, Tresorit ha ragione. La crittografia end-to-end impedirebbe a chiunque altro se non al mittente e al destinatario di un file di vederlo. Dovrebbe essere applicata correttamente, per\u00f2.<\/p>\n

Il problema con i file di protezione delle password \u00e8 che si tratta di una forma di crittografia simmetrica, in cui il mittente e il destinatario di un file utilizzano la stessa chiave privata per accedere al file. Il mittente non pu\u00f2 inviare la chiave e il file in modo sicuro tramite lo stesso canale perch\u00e9 un intercettatore potrebbe carpire sia il file che la chiave. Invece, hanno bisogno di condividere la chiave privata incontrandosi di persona o attraverso un canale alternativo come un messaggio di testo o una telefonata. Questo crea i suoi problemi di sicurezza e usabilit\u00e0.<\/p>\n

La crittografia asimmetrica (chiave pubblica) \u00e8 pi\u00f9 complessa ma anche pi\u00f9 sicura perch\u00e9 utilizza due chiavi digitali per ciascun utente: una privata (segreta) che non viene mai inviata tramite alcun canale e una pubblica (non segreta).<\/p>\n

Il mittente di un file utilizza la chiave pubblica del destinatario (visualizzabile da chiunque) per crittografarlo. Solo la chiave privata del destinatario pu\u00f2 decodificarlo. Fintanto che il destinatario mantiene la propria chiave privata al sicuro, pu\u00f2 leggere un messaggio codificato con la propria chiave pubblica e tenere cos\u00ec lontani i possibili intercettatori.<\/p>\n

Il mittente inoltre pu\u00f2 provare la propria identit\u00e0 codificando il file con la propria chiave privata. Quindi, il destinatario deve eseguire un ulteriore passaggio, decifrando il messaggio con la chiave pubblica del mittente. Ci\u00f2 dimostra che solo il mittente avrebbe potuto inviare il messaggio.<\/p>\n

La sfida con la crittografia asimmetrica \u00e8 creare un prodotto che sia abbastanza facile da usare, nascondendo tutta la complessit\u00e0 all’utente. Il vantaggio \u00e8 che anche se il servizio di trasferimento di file fa confusione e invia i file alla persona sbagliata, essi non saranno leggibili.<\/p>\n

Cos\u00ec com’\u00e8, la versione gratuita di WeTransfer non protegge i suoi file con alcuna chiave privata, ed \u00e8 per questo che il malfunzionamento dell\u2019e-mail \u00e8 cos\u00ec problematico.<\/p>\n

Esistono servizi alternativi che offrono la crittografia end-to-end, come Mozilla Firefox Send<\/a>, lanciato ufficialmente nel marzo 2019 dopo un periodo di prova di due anni. Esso utilizza l’API Web Crypto<\/a>, che si basa sulla crittografia asimmetrica. Ti consente di inviare file di dimensioni di 2,5 GB se hai un account Firefox o 1 GB se non ce l\u2019hai.<\/p>\n

 <\/p>\n<\/p><\/div>\n

http:\/\/feeds.feedburner.com\/sophos\/dgdY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

<\/p>\n

Credit to Author: Sophos Italia| Date: Fri, 05 Jul 2019 05:42:58 +0000<\/strong><\/p>\n

Questa volta tocca al popolare servizio di trasferimento file WeTransfer trovarsi in imbarazzo dopo aver ammesso di avere inviato link di file agli utenti sbagliati<img src=”http:\/\/feeds.feedburner.com\/~r\/sophos\/dgdY\/~4\/vGhGT4tCJYw” height=”1″ width=”1″ alt=””\/><\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10378,10377],"tags":[18362,12299,5897],"class_list":["post-15745","post","type-post","status-publish","format-standard","hentry","category-security","category-sophos","tag-data-loss","tag-per-gli-utenti","tag-privacy"],"_links":{"self":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/15745","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/comments?post=15745"}],"version-history":[{"count":0,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/15745\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/media?parent=15745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/categories?post=15745"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/tags?post=15745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}