Furto dati email

Eh già... chissà se pure Tiscali ha degli 007

Non so se riporti il post che citi pari pari o c'è stata qualche incomprensione, in ogni caso nelle righe sopra ci sono un mare di inesattezze (quando non leggende...) mescolate a mezze verità.
Ci sono vari servizi, come ha già spiegato Mima, che consentono di sapere se il proprio indirizzo email è finito in qualche data breach. Quello che fa Google è usare / integrare questi servizi nella sua suite e avvisare, se il caso, gli utenti finali.
In generale, il fatto che un certo indirizzo email sia finito in un data breach è un dato che, da solo, dice assai poco su eventuali compromissioni di password.
Ciò detto, assolutamente, questo non ha nulla a che fare con i servizi antivirus/antispam/antiphishing di Gmail, che, per inciso, non solo sono presenti ma funzionano molto bene.
Ugualmente, quando si accede ad un servizio "terzo" avvalendosi degli account Google, Facebook, Microsoft, ecc NON si sta consegnando la propria password (di Google, Facebook, Microsoft) a questa terza parte. Avvalersi di questa possibilità, può essere come non essere una buona idea a seconda dei casi, quello a cui bisogna prestare molta attenzione, sto semplificando, è se/quali permessi si concedono eventualmente a questa famosa terza parte rispetto agli accessi ai propri dati (di Google, Facebook, Microsoft, ecc.), così come peraltro è bene fare quando si installano app sul telefono.
Per inciso, Google (e Microsoft, ecc.) non conservano le nostre password in chiaro, e anche volendo non potrebbe consegnarle a nessuna terza parte.
In questo, Microsoft NON è più sicuro di Goole, Facebook, ecc. sono sostanzialmente tutti uguali.
Stessa cosa per la posta, Google o Microsoft sono entrambi molto sicuri (se usati bene) e usare uno o l'altro o entrambi va a gusti.

Inesattezze... leggende... Mezze verità... scusa, ma tu che sai tutti i retroscena lavori per Google, giusto? Perché in caso contrario anche io potrei giudicare fallaci le tue affermazioni.
Se ti iscrivi con l'account di un servizio X a un servizio Y devi necessariamente fornire alcuni tuoi dati da X a Y, ovviamente non la password del tuo account, ma i tuoi dati personali e l'indirizzo email sicuramente sì. Almeno così è per i servizi a cui mi sono iscritto in passato. Invece con una iscrizione standard cedi solo il tuo indirizzo email e ovviamente una password per accedere, i dati personali sono facoltativi.

P.s. secondo te chi viene per primo a conoscenza che l'indirizzo pippo@gmail.com è finito in un data breach, Google o l'utente pippo?

+1

Qui sul forum la mia parola vale quanto quella di tutti gli altri, fuori… questo argomento è il mio lavoro. In sostanza, non è uno di quei casi in cui la verità sta nel mezzo

A questo ottimo post aggiungo che "sicurezza" come la si sta intendendo in questo thread (e cioè sicurezza nei confronti di terze parti, criminali o meno) non significa "privacy", dato che le aziende autrici di tutti i servizi online più famosi come quelli citati hanno accesso a tutti i dati o a buona parte di essi (se non, ad esempio, crittografati di persona prima di essere caricati), a differenza ad esempio di servizi come Proton Mail che rispettano veramente la privacy e che neanche volendo riuscirebbero ad accedere ai dati degli utenti (grazie alla crittografia integrata di default).

Ma qui apriamo un mondo e andremmo OT.

Guarda, voglio raccontarti una storiella... libero di crederci o no... ho lavorato come analista programmatore per due multinazionali italiane dal 1998 al 2007... se ti dico che ho mandato in produzione un servizio che stava, come si suol dire, in piedi coi fili... non per colpa mia bensì perché si trattava di un progetto che doveva coinvolgere minimo tre programmatori ma per varie vicende ero l'unico e gli altri due non si sono mai visti...e che alla scadenza lo sviluppo era al 50% ma doveva essere messo in produzione lo stesso perché i termini erano quelli... che ho mandato tutto in produzione alle 2 di notte con il project manager che mi incalzava... e il mattino successivo (era un sabato) mi sono svegliato alle 12 con la testa pesa come un cocomero... e ancora sotto le coperte ho acceso la Tv e ho visto il servizio che avevo messo in produzione pubblicizzato sulle reti Mediaset... ci credi? Ti assicuro che non è una leggenda... eppure a raccontarla non ci crederebbe nessuno. E non sono stato assolutamente un fenomeno, tutt'altro... anzi ero incavolato nero per aver fatto straordinari (poi neanche pagati) per un software "zoppo" e nessun grazie dall'amministrazione... ciò per dirti che non mi scandalizzerei se qualcuno di Google andasse a recuperare gli elenchi dei dati trafugati dal dark web pagando per riaverli. Diciamo che in generale non considero certi settori candidi e pudici come potrebbero/vorrebbero apparire dall'esterno.

Noi addetti ai lavori ci crediamo eccome invece, perché è così che tipicamente vanno le cose. Sperimentato anch'io di persona in questi ultimi tempi, però dal punto di vista di chi con quel servizio si doveva interfacciare per sviluppare a sua volta il proprio. Che forse è pure peggio, perché lo sviluppo ed il funzionamento della nostra applicazione e del nostro servizio di trasmissione dati dipendono dalle specifiche e dal funzionamento del sistema a cui ci interfacciamo. Specifiche che venivano modificate in corso d'opera e con rilasci in produzione che più di una volta hanno fatto casini.

Il problema poi consisteva nello spiegare ai nostri clienti che il malfunzionamento di turno non era per colpa nostra, ma di quelli con cui ci interfacciamo, che senza entrare troppo nei dettagli si tratta di un ente statale.

Hai centrato il segno, la privacy... non a caso Proton Mail è un servizio a pagamento

Proton ha un piano free piuttosto ricco, che può essere sufficiente per gran parte degli utenti normali.
Per tutto quello che offre mi sembra difficilmente sostenibile nel tempo, ma in questo caso sì, è solo un’opinione personale non suffragata da nessun dato concreto.

Storia mia, vera, fresca (giusto di qualche mese fa).

Di mia iniziativa propongo all'azienda un progetto per programma nuovo (che avrei scritto e di cui mi sarei occupato interamente io), per automatizzare una certa operazione che, sebbene piuttosto infrequente, era molto lunga e noiosa e andava svolta in modo semiautomatizzato; allo stesso tempo trattava dati delicati, per cui la componente manuale dell'intervento lasciava spazio a errori dalle conseguenze gravi alla prima svista. Dato che la maggior parte del resto della squadra la faceva una volta e mille, nessuno aveva mai avuto contemporaneamente tempo, motivazione e competenze per automatizzarla, invece per una serie lunga di lavori che mi aspettava (piuttosto delicati, ad essere sinceri) a me tocca e capisco che è il momento di affrontare la cosa. Risposta dell'azienda: certo, ne vale la pena, tutto quello che riesci ad automatizzare per noi va bene, anzi è meglio.

Bene, nel giro di un paio di mesi (lavorandoci nei ritagli di tempo a lavoro, più qualche giorno full time per finalizzare il tutto) tiro su il programma completamente da zero (tolto il framework personale che mi sono sviluppato e continuo a sviluppare nel corso degli anni). Si trattava di una applicazione a riga di comando che, pur essendo del tutto standalone, doveva interfacciarsi con il nostro DBMS per la lettura di dei dati e con altre componenti della nostra suite software. Stavo iniziando a studiare il Rust che sarebbe la soluzione ideale per problemi del genere, ma non mi sentivo minimamente preparato abbastanza per scrivere un programma importante in esso e quindi sono andato sul sicuro con quello che conosco meglio, il buon vecchio C (e mi chiedo se mai avrò il coraggio di abbandonarlo).

Bene, faccio tutto, testo tutto, sembra tutto ok e sotto sotto lo so che funziona bene e sarebbe pronto, ma essendo l'operazione molto delicata mando una beta (molto vicina alla versione finale) ai colleghi interessati per fare test intensivi...

...dopo neanche due ore mi chiama un collega e mi chiede se poteva usarlo su dati importantissimi relativi a un'amministrazione pubblica importantissima. Salto dalla sedia, avevo una voglia di spaccargli il computer in testa... gli ho intimato di testare a fondo il programma per almeno tre giorni, per poi comunicarmi i risultati e ricevere da me l'ok.

E tu sai già cosa succederà dopo: il tuo collega, usando in produzione il tuo programma ancora da testare approfonditamente, combinerà qualche cazzata oppure salterà fuori qualche baco nel tuo codice. E la colpa ovviamente sarà tua perché sei tu che hai scritto il codice, e non lui che ha fatto la cazzata o l'ha usato quando ancora non doveva.

Comunque stiamo andando OT, meglio fermarci qui.

Esatto, infatti quella versione del programma loggava ovunque a caratteri cubitali "THIS IS A BETA VERSION INTENDED EXCLUSIVELY FOR TESTING PURPOSES, USE IT AT YOUR OWN RISK!"

Un gigabyte di spazio nel (quasi) 2025 mi sembra molto ristretto anche per un utenza basic. Non citano il limite degli allegati per singola mail. A me sembra un invito a provare il servizio per poi decidere se passare ai piani a pagamento.


Beh per quel che offre si fa pagare però almeno garantiscono che i tuoi dati non saranno offerti ad aziende terze a tua insaputa né saranno inseriti tracker nei messaggi in entrata e arrivo.

La maggior parte dei fornitori di servizi di posta elettronica, come Gmail, Outlook e Yahoo, analizza il contenuto dei messaggi di posta elettronica e utilizza l'indirizzo e-mail per creare un profilo dettagliato dell'utente e sfruttare i suoi dati.
La crittografia end-to-end e la crittografia ad accesso zero di Proton Mail ti offrono la garanzia che nessun altro utente possa visualizzare le tue email. Nemmeno Proton può visualizzare il contenuto delle tue email e i relativi allegati.

Nel periodo pre-covid lavoravo con partita iva e ho avuto l'opportunità di collaborare con alcune startup. Ho notato che non si fanno scrupoli nel gestire l'intero workflow su Google Drive, Dropbox, etc.
Boh... sono rimasto all'epoca in cui si usava un server proprietario, rigorosamente sigillato in ufficio/casa o in una server farm (possibilmente di amici o comunque conoscenti fidati).

Mi riferivo alla sostenibilità nel tempo del piano free, che al momento offre:
- Casella di posta a 1GB
- Spazio di archiviazione da 2GB
- Calendario
- VPN (solo verso alcuni paesi, ma non male)
- Vault/Password Manager
- Wallet Crytpovalute
Tutto questo, appunto, apparentemente gratis e non in cambio dei dati degli utenti come fanno i servizi "home" dei big.
Peraltro, gli stessi big nelle versioni aziendali a pagamento delle proprie suite forniscono molte più garanzie rispetto all'accesso ai dati, così come, ad esempio, consentono di usare proprie chiavi per la cifratura dei dati stessi.
Questo solo per dire che, rispetto ai temi privacy/sicurezza, confrontando le versioni a pagamento potrebbero non esserci tutte queste concrete differenze tra Proton e gli altri.
Il tutto ribadendo che conosco bene Google e MS, mentre non conosco Proton e mi limito a osservare quello che è successo nel tempo al mio account free che ho con loro, quindi magari mi sbaglio.
Come dicevo, è solo una sensazione personale e non conosco i business plan di Proton. Magari è solo una strategia commerciale molto aggressiva ma "sana" per allettare gli utenti e provare a dirottarli poi ai piani a pagamento.
Però... quando qualcuno offre "troppe" cose gratis sono portato ad insospettirmi. Aggiungo che, sempre per quanto mi riguarda, la recente aggiunta del crytpowallet all'offerta è un'altra piccola red flag.

Con me in tema di sicurezza Google sfondi una porta aperta, ho un account dal 2006 e mai avuto un problema.
Che i dati personali li utilizzino per fini commerciali è riportato nel contratto, quindi da questo punto di vista niente di losco. Poi che dietro le quinte compiano illeciti e altre porcherie, loro come altri, beh... d'altronde se vai a vedere da chi sono composti i cda di questi colossi, troverai tra gli azionisti banche, finanziarie, produttori di armi, etc. Il più pulito ha la rogna.

Diciamo che (per quanto ne so, forse ultimamente le cose sono cambiate) con Proton sulla carta dovresti essere al sicuro da ogni entità che non abbia il potere di convincere un tribunale svizzero a trascinarti in un processo, nel qual caso Proton non dovrebbe comunque poter accedere ai messaggi, ma potrebbe avere accesso ad alcuni metadati ed eventualmente all'indirizzo IP.

Poi non mi risultano che esistano sistemi e-mail ancora più sicuri, mentre ad esempio da quel che mi risulta con Signal (messaggistica istantanea) la piattaforma di Signal non è tecnicamente in grado neanche di fornire i metadati e l'IP, ma anche qui non so se ultimamente è cambiato qualcosa, è da un po' che non mi aggiorno in merito. Probabilmente ne sai molto più di me. In ogni caso Signal non funziona senza smartphone, l'applicazione per PC è linkata secondariamente a quella smartphone, quindi anche lì...Signal è sicuro, ma lo smartphone lo è?

Sicurezza tecnica a parte, dipende molto anche dalle leggi di ogni singolo paese in materia di privacy copyright etc
Ad esempio se scarichi files da Torrent in italia le autorità fanno finta di nulla, in Germania scatta immediatamente la sanzione. Idem se buchi una rete istituzionale, in certi paesi vai in galera in altri ti danno la medaglia.

E non solo le startup, pure ditte già avviate da anni e magari nemmeno troppo piccole si sono spostate sul cloud pubblico. Ormai è la regola.



Anch'io, e continuerò a rimanerci. Cosa ne penso dell'avere tutti i propri dati sul cloud pubblico, magari senza nemmeno una copia di backup in locale, l'ho già detto diverse volte. Per me è no.