Il Governo britannico ha effettuato un test inviando un messaggio di allerta di emergenza ai cittadini. Già dall’annuncio del testo, però, le speculazioni hanno invaso i social media e in diversi hanno condiviso informazioni non veritiere e affermazioni stravaganti, tra cui quella secondo cui l’allerta sarebbe stata programmata per rubare i dati personali. L’allarme sperimentale è stato inviato nel tentativo di imitare i programmi esistenti negli Stati Uniti e in Giappone, che allertano le persone in situazioni di pericolo di vita come inondazioni e incendi. L’allarme è stato ricevuto dai telefoni cellulari 4G e 5G ed è consistito in un messaggio inviato insieme a suoni e vibrazioni per un massimo di 10 secondi. Le teorie complottiste emerse negli angoli bui del web sono state sfatate da Full Fact, un’associazione di beneficenza composta da verificatori di fatti e attivisti che mirano a fermare la diffusione di disinformazione dannosa. Sul sito web del governo sono disponibili numerose informazioni che spiegano lo scopo dell’allarme e il suo funzionamento. Il Cabinet Office ha dichiarato che l’allarme non raccoglie dati personali e non permette al Governo di sapere se i telefoni sono attivi o di fornire la loro posizione. Il sito web del governo spiega che l’allarme non richiede numeri di telefono individuali per essere attivato, descrivendo il sistema come “unidirezionale”. Nell’informativa privacy del servizio Emergency Alerts si legge che: “Gli avvisi di emergenza vengono trasmessi dalle antenne di telefonia mobile a tutti i telefoni e tablet compatibili nel raggio d’azione. Il mittente non ha bisogno di conoscere il vostro numero di cellulare o altri dati personali per inviare un avviso. Nessuno raccoglierà o condividerà dati su di voi, sul vostro telefono o sulla vostra posizione quando riceverete un avviso di emergenza”.
Il governo del Lussemburgo è stato criticato per le modalità di conservazione dei dati nel campo delle comunicazioni elettroniche. In particolare, l’associazione di hacking Chaos Computer Club ha biasimato il nuovo disegno di legge presentato dal ministro della Giustizia Sam Tanson, tacciandolo di non essere abbastanza. La sezione lussemburghese dell’associazione di hacking esamina regolarmente la protezione dei dati e le questioni correlate. L’anno scorso, ad esempio, ha lanciato un allarme sui piani dell’UE per il monitoraggio dei messaggi privati. In base alla nuova legge lussemburghese, i dati dei cittadini continueranno a essere raccolti e conservati per sei mesi. Secondo il club, le condizioni in cui il governo può conservare questi dati non sono state sufficientemente definite. Il Chaos Computer Club ritiene che il governo abbia semplicemente copiato una legge belga in materia. Anche il fatto che il contenuto delle conversazioni non verrà conservato, salvando invece metadati come l’ora o l’interlocutore, non rassicura l’associazione. Il Chaos Computer Club ha affermato che queste informazioni potrebbero comunque aiutare a trarre conclusioni sul contenuto della conversazione, citando l’esempio di una persona che telefona a un avvocato divorzista. L’associazione ha anche criticato il meccanismo di controllo previsto. Il disegno di legge prevede una relazione della Camera ogni tre anni, mentre non è prevista alcuna data per nominare una commissione dedicata. Il Club spera in un parere negativo da parte del Consiglio di Stato, anche se ritiene più probabile che il Ministero della Giustizia ascolti fonti come la polizia, i servizi segreti e le autorità giudiziarie piuttosto che organizzazioni e associazioni per i diritti civili.
Il Governo delle Filippine smentisce di essere stato oggetto di un massiccio data breach. L’Ufficio nazionale di investigazione (NBI) ha negato il coinvolgimento dei suoi sistemi nella presunta violazione di dati che avrebbe riguardato più di un milione di persone. L’NBI ha indagato sul presunto data breach non appena la società di ricerca sulla sicurezza informatica VPNMentor ha segnalato la questione il 18 aprile 2023. “Dai risultati della nostra valutazione delle vulnerabilità, siamo ragionevolmente certi che la presunta violazione non coinvolga nessuno dei sistemi dell’NBI”, ha dichiarato in un comunicato. La falla avrebbe esposto 1.279.437 schede personali per un totale di 817,54 gigabyte di dati relativi a dipendenti di agenzie statali, tra cui l’NBI stessa, la Polizia nazionale filippina (PNP), L’Agenzia delle Entrate (BIR) e la Special Action Force. Il ricercatore di cybersicurezza Jeremiah Fowler ha dichiarato che i record esposti includono certificati di nascita, scansioni di impronte digitali, numeri di identificazione fiscale (TIN), dichiarazioni dei redditi presentate, trascrizioni di certificazioni accademiche e copie del passaporto. Il Segretario per le Tecnologie dell’Informazione e delle Comunicazioni Ivan Uy ritiene che i sistemi dell’NBI e della BIR non siano stati violati. L’NBI ha dichiarato che continuerà a monitorare e indagare sulla presunta violazione dei dati. “Desideriamo rassicurare il pubblico sul fatto che l’NBI, in quanto centro di smistamento nazionale dei casellari giudiziari e di altre informazioni correlate, attribuisce la massima importanza alla privacy dei dati”. Anche il Dipartimento per le tecnologie dell’informazione e delle comunicazioni (DICT), in una dichiarazione ufficiale, ha reso noto di aver iniziato a indagare sulla presunta violazione dopo aver ricevuto da un ricercatore di sicurezza un link al blob storage di Azure.
English version
The British government carried out a test by sending an emergency alert message to citizens. As soon as the text was announced, however, speculation flooded social media and several people shared untrue information and outlandish claims, including that the alert was programmed to steal personal data. The experimental alert was sent in an attempt to imitate existing programmes in the US and Japan, which alert people in life-threatening situations such as floods and fires. The alarm was received by 4G and 5G mobile phones and consisted of a message sent along with sound and vibration for up to 10 seconds. Conspiracy theories that have emerged in dark corners of the web have been debunked by Full Fact, a charity made up of fact-checkers and activists who aim to stop the spread of damaging disinformation. A wealth of information is available on the government website explaining the purpose of the alert and how it works. The Cabinet Office stated that the alert does not collect personal data and does not allow the government to know whether phones are active or provide their location. The government website explains that the alarm does not require individual phone numbers to be activated, describing the system as ‘one-way’. The privacy policy of the Emergency Alerts service states that: “Emergency alerts are transmitted from mobile phone masts to all compatible phones and tablets within range. The sender does not need to know your mobile phone number or other personal data to send an alert. No one will collect or share data about you, your phone or your location when you receive an emergency alert’.
The Luxembourg government has been criticised for the way in which data is stored in the field of electronic communications. In particular, the hacking association Chaos Computer Club blamed the new bill presented by Justice Minister Sam Tanson, accusing it of not going far enough. The Luxembourg branch of the hacking association regularly examines data protection and related issues. Last year, for instance, it raised an alarm about the EU’s plans to monitor private messages. According to the new Luxembourg law, citizens’ data will continue to be collected and stored for six months. According to the club, the conditions under which the government can store this data have not been sufficiently defined. The Chaos Computer Club believes that the government has simply copied a Belgian law on the subject. The fact that the content of the conversations will not be stored, instead saving metadata such as the time or the caller, also does not reassure the association. The Chaos Computer Club stated that this information could still help to draw conclusions about the content of the conversation, citing the example of a person phoning a divorce lawyer. The association also criticised the planned control mechanism. The bill provides for a House report every three years, while no date is set for appointing a dedicated committee. It hopes for a negative opinion from the Council of State, although it considers it more likely that the Ministry of Justice will listen to sources such as the police, intelligence services and judicial authorities rather than civil rights organisations and associations.
The Philippine government denies it was the subject of a massive data breach. The National Bureau of Investigation (NBI) denied the involvement of its systems in the alleged data breach that allegedly affected more than one million people. The NBI investigated the alleged data breach as soon as cyber security research firm VPNMentor reported the matter on 18 April 2023. “From the results of our vulnerability assessment, we are reasonably confident that the alleged breach does not involve any of the NBI’s systems,” it said in a statement. The breach would have exposed 1,279,437 personnel files totalling 817.54 gigabytes of data related to employees of state agencies, including the NBI itself, the Philippine National Police (PNP), The Bureau of Internal Revenue (BIR) and the Special Action Force. Cybersecurity researcher Jeremiah Fowler said the exposed records include birth certificates, fingerprint scans, tax identification numbers (TINs), tax returns filed, transcripts of academic certifications and passport copies. Information and Communications Technology Secretary Ivan Uy believes the NBI and BIR systems were not hacked. The NBI said it will continue to monitor and investigate the alleged data breach. “We wish to reassure the public that the NBI, as the national clearing house for criminal records and other related information, attaches the utmost importance to data privacy.” The Department of Information and Communications Technology (DICT), in an official statement, also disclosed that it had begun investigating the alleged breach after receiving a link to Azure blob storage from a security researcher.
