- I servizi cloud di Microsoft possono esaminare file ZIP, compresi quelli protetti da password, alla ricerca di malware.
- Questa pratica solleva preoccupazioni sulla violazione della privacy e sull'accesso ai file personali senza consenso.
- Sarebbe auspicabile che Microsoft fosse più trasparente riguardo alle pratiche di gestione dei dati e offrisse agli utenti la possibilità di scegliere se accettare o meno la scansione dei file.
I servizi cloud di Microsoft possono esaminare i file ZIP, anche quelli protetti da password, alla ricerca di malware. Ne dà notizia Ars Technica, ed è un fatto dai toni chiaroscuri.
Da una parte è fantastico avere una protezione extra, soprattutto considerando che proprio i file zippati e con password sono stati spesso il veicolo per attacchi informatici. D’altra parte, però, se c’è un file protetto da password, mi aspetterei che nessuno possa guardarci dentro. Tantomeno l’azienda a cui ne affido la conservazione.
A scoprire la novità è stato Andrew Brandt, un ricercatore che ha l’abitudine di mettere il malware dentro file ZIP protetti, per poi scambiarli con dei colleghi tramite Microsoft SharePoint. Ieri si è sorpreso di vedere che Microsoft ha etichettato come infetto uno dei suoi file.
La sorpresa non è certo il fatto che il file fosse infetto, ma piuttosto il fatto che Microsoft se ne sia accorta.
"Sebbene comprenda perfettamente l'uso di questo strumento da parte di chiunque non sia un analista di malware, questo tipo di gestione ficcanaso, che entra nel tuo business, diventerà un grosso problema per chi, come me, ha bisogno di inviare ai propri colleghi campioni di malware", ha scritto Brandt. Il ricercatore specifica che Microsoft marca come infetti anche file che in teoria non dovrebbe essere in grado di aprire, perché la relativa password non è rintracciabile né in liste pubbliche né in messaggi email - anche se MS comunque non dovrebbe leggerli.
L’approccio di Google con Gmail è diverso: spesso blocca i file ZIP protetti da password a prescindere dal contenuto. In altre parole, se Gmail non può esaminare un file, lo blocca all’origine.
Il problema non è di facile soluzione: da una parte queste aziende sono chiamate a fare la loro parte per garantire una maggiore sicurezza informatica a tutti noi. Dall’altra, a nessuno piace la sensazione di essere spiato, finanche a fin di bene.
Una password, dopotutto, viene solitamente impiegata per proteggere informazioni sensibili e riservate, come i dati finanziari o i documenti personali. Ci si aspetta privacy, e Microsoft sta violando tale aspettativa.
Sarebbe preferibile che Microsoft fosse più trasparente sulle sue pratiche di gestione dei dati. Gli utenti devono avere informazioni chiare sui tipi di file sottoposti a scansione, sullo scopo dell'analisi e sulla durata della conservazione dei dati.
Sicuramente trovare il giusto equilibrio non è facile, ma MS poteva almeno avvisare. Una possibilit, poi, potrebbe consistere nell'offrire agli utenti la possibilità di scegliere se accettare o meno la funzione di scansione, consentendo agli individui di decidere se privilegiare la sicurezza rispetto alla privacy.
Nell’eterna dicotomia tra sicurezza e privacy, le aziende devono trovare soluzioni che offrano protezione e allo stesso tempo rispettino la riservatezza dei dati. Trovare il giusto equilibrio sarà fondamentale per costruire la fiducia degli utenti e al tempo stesso affrontare efficacemente le sfide sempre crescenti della sicurezza online.