Sabino Maggi
Condividere i documenti sui vari servizi cloud, lo sappiamo tutti, è comodissimo. Possiamo mantenere un backup remoto dei nostri file, mettendoci al sicuro dai crash improvvisi del computer.1 Possiamo lavorare su computer diversi, ritrovando il documento esattamente nello stato in cui lo avevamo lasciato. Possiamo perfino lavorare con altre persone sullo stesso documento senza bisogno di essere fisicamente vicini.
Ci sono rischi per la privacy e in teoria è possibile che dei documenti riservati finiscano in mani sbagliate o vengano occhieggiati dagli stessi gestori del servizio cloud. Ma, per quanto se ne sa, la diffusione di documenti privati è sempre avvenuta finora attraverso il furto delle credenziali di accesso del servizio cloud usato dalla (o dal) malcapitata.
Docs.com
OneDrive è l’equivalente Microsoft di iCloud di Apple o di Google Docs, una piattaforma dove si possono salvare i propri documenti e modificarli con le versioni online di Word, Excel, PowerPoint e OneNote.
In parallelo a OneDrive, Microsoft ha anche messo a punto Docs.com, un servizio di condivisione gratuita dei documenti presenti su OneDrive o caricati dal proprio computer.
Ogni volta che si condivide un documento si può decidere se renderlo pubblico, accessibile a chiunque e indicizzabile dai motori di ricerca, oppure privato, e quindi visibile solo da chi dispone di un collegamento diretto al documento stesso.
Negli ultimi giorni qualcuno ha scoperto che su Docs.com sono liberamente accessibili anche parecchi documenti contenenti informazioni riservate. La notizia è rimbalzata immediatamente da Twitter ai siti specializzati e a quelli della stampa generica, montando il solito scandalo planetario circa la sicurezza del cloud in generale e di Docs.com in particolare.
Ho provato anch’io a cercare qualche documento compromettente su Docs.com e in effetti ho trovato cose che non avrei dovuto vedere: la diagnosi di un radiologo, una richiesta di risarcimento danni di uno studio legale, il backup degli SMS di uno smartphone, tanto per fare alcuni esempi (nelle immagini che seguono ho cancellato i riferimenti personali, anche se ormai la frittata è stata fatta).
Fra tantissime cose innocue, si trovano anche delibere di enti pubblici, attestati, curriculum vitae, esami diagnostici, contratti, atti legali. Tutte informazioni che non si dovrebbero mettere in giro, esposte agli occhi di chiunque.
Ma di chi è la colpa?
La colpa è di Microsoft, che ha scelto come opzione di default la condivisione pubblica del documento, cioè l’opzione meno restrittiva e più aperta a possibili rischi?
Oppure la colpa è degli stessi utenti, che fanno sempre tutto di fretta e non si preoccupano di perdere pochi secondi a leggere e a riflettere su quello che stanno facendo?
Mettiamo alla prova Docs.com
Per verificare di persona, sono entrato nel mio account su OneDrive (ne ho uno anch’io, lo uso soprattutto per le presentazioni, che così posso modificare e scaricare fino all’ultimissimo momento) e ho creato due due semplicissimi documenti in Word, uno da mantenere riservato, l’altro destinato ad essere condiviso pubblicamente. Ciascun documento contiene un breve testo di presentazione e due parole inventate di sana pianta, in modo da facilitare la ricerca su Docs.com e sui vari motori di ricerca.
Poi ho fatto il login in Docs.com e ho condiviso i due documenti da OneDrive, stando ben attento a come configuravo ciascuno dei due.
Configurando il primo documento come privato (“con limitazioni”) non succede niente di particolare, ma quando rendo pubblico l’altro file, Docs.com salta su e mi avvisa chiaramente di quello che sto facendo, consigliandomi di non condividere pubblicamente sul web documenti contenenti informazioni personali riservate. Sta a me leggere e decidere per il meglio (e soprattutto non spuntare l’opzione per non visualizzare più il messaggio).
Poiché sono malfidente non mi sono fermato qui. Ho aspettato un paio di giorni, per dare tempo a Docs.com di indicizzare i miei file, e poi ho fatto una ricerca usando come parole chiave le parole inventate dei due documenti.
La ricerca l’ho fatta senza fare prima login in Docs.com, in modo da imitare quello che potrebbe fare un utente ficcanaso, alla ricerca di informazioni riservate nel servizio di condivisione di Microsoft.
Risultato: come previsto Docs.com trova facilmente il documento pubblico, mentre il documento configurato come privato rimane giustamente ben nascosto ed accessibile solo da me o da chi viene autorizzato esplicitamente da me. Google invece non trova assolutamente niente, non credo che due giorni siano troppo pochi, è più probabile che Microsoft impedisca a Google di accedere ai file del suo servizio di condivisione.
Provo allora ad usare Bing, il motore di ricerca di Microsoft. Come volevasi dimostrare, Bing trova subito il documento pubblico ma non trova (come deve essere) quello privato. Non mi piace particolarmente questa guerra a colpi di motori di ricerca, ma per fortuna la privacy è salva.
Conclusioni
Quando c’è di mezzo la Microsoft ci sono spesso magagne, problemi, scopiazzature, assurdità. Tutte cose che ho messo in evidenza più di una volta, anche su questo blog.
Ma in questo caso specifico, basterebbe solo fare un po’ di attenzione per evitare problemi.
Il succo dello scandalo è banale: tanti utenti non si sono curati di quello che stavano facendo e, nonostante gli avvisi, hanno condiviso pubblicamente dei documenti che sarebbe stato molto meglio mantenere riservati.
Gli sviluppatori Microsoft forse sono stati un po’ leggeri nello scegliere come opzione di default quella che rende il documento pubblico, ma dato che Docs.com è un servizio di condivisione di documenti, mi sembra normale aspettarsi che chi condivide un file lo voglia rendere accessibile a chiunque.
Sta all’utente usare un minimo di attenzione per decidere cosa condividere, quali documenti possono essere resi pubblici e quali è meglio che rimangano riservati. Ogni volta che seleziona un file da includere in Docs.com, l’utente viene avvisato chiaramente di quello che sta facendo. Se, nonostante tutto, non si cura di leggere i messaggi di avviso e di usare il cervello, possiamo dare la colpa alla Microsoft per questo?
Sarebbe come se qualcuno incolpasse Facebook per essere stato licenziato dopo aver postato sul suo profilo foto di vacanze o di pranzi pantagruelici mentre in teoria dovrebbe essere al lavoro.
Una minima attenzione a quello che si fa su internet è non solo necessaria ma anche doverosa. Non pensare alle conseguenze d quello che si fa e avere pure il coraggio di lamentarsi mi sembra francamente una cosa insensata.
-
Che avvengono sempre ne momenti meno indicati. ↩