SHIELD

Realtà dell'esposizione

L'audit di esposizione: 2 ore per mappare ciò che fuoriesce

Metodo passo passo per inventariare ciò che è già pubblico su di lei. Strumenti gratuiti, ordine di priorità, decisioni da prendere.

Pubblicato il 14 min di lettura General

Ultima revisione:

Server di dati in file in un datacenter

Un avvocato d’affari mi chiede, tra un caffè e l’altro, cosa si potrebbe trovare su di lui in due ore. Faccio partire un cronometro. Due ore dopo, ha davanti agli occhi il suo indirizzo di domicilio del 2019, tre vecchi numeri di cellulare, l’elenco esaustivo delle sue cariche dal 2012, e un dump che contiene la sua password Gmail dell’epoca, in chiaro. È impallidito. Non lo sapeva. Nessuno lo sa, prima di guardare.

Angle de lecture

La trappola abituale

Il riflesso, quando ci si preoccupa della propria visibilità online, è digitare il proprio nome su Google e scorrere tre pagine di risultati. Si incappa nel proprio profilo LinkedIn, in un vecchio articolo di stampa, magari in una foto di una serata. Ci si rassicura: «in fondo, non c’è granché». È esattamente il falso senso di sicurezza che le costerà caro. Google le mostra solo una frazione infima di ciò che esiste — l’indice di superficie, quello che è pubblico, legale e indicizzabile. Tutto il resto — i database di leak, i broker di dati, i registri legali, gli archivi, i metadati — non compare mai in quella prima pagina.

La seconda trappola è credere che un solo strumento basti. «Ho verificato HIBPServizio pubblico gratuito di Troy Hunt che indicizza le email compromesse nelle violazioni pubbliche., sono pulito.» No. Have I Been PwnedServizio pubblico gratuito di Troy Hunt che indicizza le email compromesse nelle violazioni pubbliche. indicizza leak pubblici e confermati. Non vede i dump privati che circolano su forum chiusi, né gli aggregati venduti dai data brokerAzienda che raccoglie, aggrega e rivende dati personali su larga scala., né i database che certi soggetti tengono per sé. Un solo strumento dà una sola vista. La sua esposizione reale è la somma di decine di fonti eterogenee, e nessuna ha la fotografia completa.

La terza trappola è metodologica. La ricerca improvvisata — «digito il mio nome e vedo cosa esce» — produce rumore, non intelligence. Lei non sa quando ha finito, non può confrontare tra sei mesi, dimentica metà dei suoi vecchi indirizzi. Un audit è l’opposto: un metodo riproducibile, limitato nel tempo, che copre strati definiti e produce un deliverable — una tabella di esposizione. La differenza tra «googlare» e «auditare» è la differenza tra guardare dalla finestra e fare l’inventario della casa.

Perché «auditare» e non solo «googlare»

Poniamo una cifra per fissare l’ordine di grandezza: ciò che Google le restituisce rappresenta, per un profilo mediamente attivo, circa un millesimo di ciò che un investigatore determinato può ricostruire. Non è paranoia, è aritmetica di superficie. Il motore indicizza ciò che è pubblico, vivo e autorizzato al crawl. Non indicizza i database di leak (illegali da diffondere, quindi nascosti), né i registri che richiedono una ricerca strutturata per identificatore, né le pagine morte che solo la Wayback MachineArchivio web dell'Internet Archive, che cattura le pagine dal 1996. ha conservato, né i metadati nascosti nei suoi file. Lei googla la vetrina. L’audit apre il retrobottega.

L’audit di esposizione è, in fondo, un esercizio di OSINTIntelligence da fonti aperte (pubbliche): social network, registri, archivi. rivolto contro sé stessi. Lei adotta la postura dell’avversario: reclutatore troppo curioso, concorrente, giornalista, ex coniuge in pieno conflitto, o attaccante che prepara uno spear-phishingMappatura degli attori, motivazioni, capacità e impatti potenziali contro un obiettivo. mirato. L’obiettivo non è cancellare tutto — è impossibile ed è persino un segnale di per sé. L’obiettivo è sapere con precisione cosa c’è fuori, da quando, e decidere, voce per voce, cosa farne. Non si difende un perimetro che non si è mappato.

Definire il proprio modello di minacciaMappatura degli attori, motivazioni, capacità e impatti potenziali contro un obiettivo. prima di cominciare cambia tutto. Auditare senza un avversario in mente significa raccogliere informazioni a caso e farsi prendere dal panico davanti alla quantità. La domanda giusta non è mai «cosa esiste su di me?» — la risposta è sempre «moltissime cose» — ma «chi mi cerca, con quali mezzi, e per fare cosa?». Un privato che teme un reclutatore non ha lo stesso modello di un dirigente preso di mira da una frode, né di un giornalista sotto la pressione di uno Stato. Il modello determina ciò che conta: per l’uno, una foto di serata mal inquadrata; per l’altro, un domicilio che trapela; per il terzo, il minimo metadato che rivela una fonte. Senza questo inquadramento, lei classificherà male le sue scoperte ed esaurirà le sue energie sul rumore. Lo metta per iscritto in una frase prima di far partire il cronometro.

Il metodo richiede due ore per un primo passaggio, a condizione di strutturarlo. Quattro fasi di trenta minuti, ciascuna che prende di mira uno strato: superfici pubbliche, leak e identificatori, registri legali, social e metadati. Poi una formalizzazione. La suddivisione temporale non è cosmetica: le impedisce di partire in un’esplorazione senza fine su una sola pista e garantisce una copertura omogenea. La tentazione, quando si comincia a tirare un filo, è di passare un’ora su una sola scoperta affascinante dimenticando gli altri tre strati. Il cronometro è lì per questo: trenta minuti, annota ciò che ha, passa al successivo. Tornerà ad approfondire le piste critiche dopo, una volta completata la mappatura.

Prima di far partire il cronometro, prepari la sua materia prima. È la fase che tutti saltano ed è quella che determina la qualità del risultato. Elenchi tutti i suoi indirizzi email storici: quello personale attuale, ma anche il vecchio indirizzo del provider del 2008, l’alias che usava per i forum, la casella usa e getta creata per un’iscrizione dimenticata, l’indirizzo professionale del suo datore di lavoro precedente. Elenchi tutti i suoi numeri degli ultimi cinque anni — ogni cambio di operatore ha lasciato un numero dietro di sé, collegato a degli account. Elenchi i suoi vecchi pseudonimi: l’handle Twitter abbandonato, il nickname di gaming, l’account forum della sua adolescenza tecnica. Questi identificatori secondari sono precisamente quelli che si trascinano nei vecchi dump, perché li aveva dimenticati e quindi mai messi in sicurezza. Infine, apra una sessione di browser isolata — profilo nuovo, nessuna estensione, scollegata da tutto, idealmente su una rete diversa dalla sua. Lei cerca ciò che vede uno sconosciuto, non ciò che la sua sessione connessa e personalizzata le restituisce. Google, LinkedIn, Facebook adattano i loro risultati a chi è lei; un audit fatto dal suo account mente per omissione.

Le quattro fasi — la routine di due ore

Fase 1 — Superfici pubbliche (30 min). Comincia da ciò che è indicizzato, ma con operatori di ricerca, non a mano. I Google dorkIntelligence da fonti aperte (pubbliche): social network, registri, archivi. trasformano un motore di massa in strumento d’indagine. Lanci in serie: site:linkedin.com "Nome Cognome" per isolare i profili, "Nome Cognome" filetype:pdf per i documenti (presentazioni, verbali, liste di invitati), site:registroimprese.it "Cognome" e site:gazzettaufficiale.it "Cognome" per le tracce d’impresa indicizzate. Vari le virgolette, testi su Google e Bing e Yandex — gli indici differiscono fortemente. Passi poi ciascuno dei suoi vecchi domini personali o blog nella Wayback MachineArchivio web dell'Internet Archive, che cattura le pagine dal 1996.: un sito del 2010 che lei crede morto vi è spesso congelato, dati di contatto, indirizzo e telefono compresi. Termini con una ricerca per immagini inversa sulla sua foto profilo principale — Yandex è nettamente superiore a Google sul riconoscimento facciale, TinEye per ritrovare i contesti antichi. Risultati attesi: profilo completo, indirizzi passati, cariche, articoli di stampa, foto riutilizzate altrove.

Fase 2 — Leak e identificatori (30 min). Lei passa sotto la superficie. Verifichi ogni indirizzo email storico su HIBPServizio pubblico gratuito di Troy Hunt che indicizza le email compromesse nelle violazioni pubbliche. — non solo quello attuale, è l’errore classico. Annoti il numero di leak, la loro anzianità, e soprattutto la natura dei dati esposti (password, indirizzo, numero). Un leak del 2014 su un forum scomparso può sembrare benigno, finché non si rende conto che la password esposta è una variazione di quella che usa ancora. Gli avversari lo sanno: costruiscono dizionari personalizzati a partire dalle sue vecchie password per indovinare quelle nuove. Per andare oltre, DeHashed (parzialmente gratuito, ~5 $/mese per il dettaglio) mostra password in chiaro provenienti da certi dump — le sue, se del caso. Intelligence X indicizza archivi di forum scomparsi (RaidForums, Breached) e propone una ricerca dark web. Per un profilo sensibile, Constella Intelligence o Snusbase coprono database di leakServizio che indicizza i dati provenienti da violazioni pubbliche o semi-pubbliche. assenti da HIBP. Incroci anche il suo numero di telefono: inserito senza virgolette poi con, in più formati (nazionale, internazionale, con e senza spazi), rivela spesso iscrizioni dimenticate. Ciò che cerca: una password riutilizzata ancora attiva da qualche parte, un numero di telefono che trapela, un indirizzo postale collegato a un account dimenticato, un identificatore che fa da ponte tra due identità che credeva separate.

Fase 3 — Registri e fonti legali (30 min). In Italia, la sua vita di dirigente è pubblica per costruzione. Il Registro delle Imprese e Telemaco elencano le sue cariche sociali, bilanci, procedure concorsuali. La Gazzetta Ufficiale pubblica gli annunci legali e le menzioni nelle sentenze. L’UIBM registra i marchi e i brevetti depositati a suo nome. Per un profilo internazionale: Companies House (UK), OpenCorporates (cross-giurisdizione), PACER (procedure federali USA). Un indirizzo di domicilio «riservato» è stato spesso depositato in chiaro in un annuncio di costituzione di società dieci anni prima — e vi rimane.

Fase 4 — Social e metadati (30 min). Testi il suo profilo LinkedIn in navigazione privata, non connesso: ciò che vede uno sconosciuto differisce da ciò che vede lei. Spesso, relazioni, un percorso dettagliato e dati di contatto che pensava riservati alla sua rete restano visibili per default. Faccia lo stesso su Twitter/X, la cui storia pubblica può risalire a dieci anni — e dove una vecchia pubblicazione geolocalizzata tradisce i suoi luoghi di vita di allora. Scarichi qualche immagine che ha pubblicato e la passi in ExifTool: i metadatiDati sui dati: chi ha scritto cosa, quando, dove, a chi. EXIFMetadati allegati alle immagini: data, GPS, modello di dispositivo, parametri di scatto. contengono frequentemente coordinate GPS al metro, modello di apparecchio, numero di serie e timestamp. Una foto del suo ufficio pubblicata su un social può così dare l’indirizzo esatto del domicilio da cui lavora in smart working. Infine, una ricerca Google Immagini e Yandex sul suo nome completo richiude il cerchio tra identità testuale e volto — è ciò che permette a un avversario di collegare uno pseudonimo anonimo alla sua vera identità, o viceversa.

Formalizzare: la tabella di esposizione

Senza deliverable, l’audit non serve a nulla: non potrà né decidere né confrontare. L’output è una tabella unica, con almeno quattro colonne: informazione (l’elemento esatto: «indirizzo domicilio 2019»), fonte («Gazzetta Ufficiale, annuncio società immobiliare»), data (quando l’info è apparsa e/o la data della sua scoperta), criticità. Aggiunga una quinta colonna azione. La criticità si classifica in quattro livelli: critica (compromette direttamente la sua sicurezza fisica o finanziaria — domicilio attuale, password attiva), sensibile (sfruttabile nell’ingegneria sociale — vecchi numeri, cariche, relazioni), pubblica (legittimamente nota, senza leva — la sua posizione attuale), benigna (senza interesse per un avversario).

Per ogni riga critica, lei decide tra tre opzioni e non una di più. Ritirare: esercitare il diritto alla cancellazione, contattare un broker, chiedere una deindicizzazione, eliminare un vecchio account. Mutare: se l’info non può sparire (una carica pubblicata resta pubblica), lei cambia ciò che dipende da lei — rotazione della password trapelata, nuovo numero per gli usi sensibili, compartimentazioneSeparare le proprie identità per utilizzo (civile, pro pubblico, pro sensibile, operativo) per limitare la propagazione delle fughe. delle identità. Accettare: assumere l’esposizione, ma con un piano di risposta scritto — «se mi chiamano servendosi di questa info, ecco il protocollo». Un dato accettato consapevolmente non è più una falla, è un parametro noto.

Una parola sulla criticità, perché è lì che gli audit deragliano. La tentazione è di classificare tutto come «critico» per ansia, o di minimizzare tutto per negazione. Né l’uno né l’altro. La criticità di un dato non è intrinseca: dipende da ciò che un avversario può farne nel suo contesto. Il suo indirizzo professionale è pubblico e benigno per un commerciale; la stessa informazione diventa critica per chi subisce molestie. Un vecchio numero di telefono è sensibile perché serve da secondo fattore di recupero su account antichi — non perché potrebbero chiamarla. Ragioni sempre in termini di leva: «con questo, cosa si innesca?». Un dato che non apre alcuna porta resta benigno, anche se la disturba.

L’audit non è un one-shot. La sua esposizione si muove continuamente: nuovi leak, nuove cariche, nuove pubblicazioni, trasloco dichiarato da qualche parte. Per un profilo standard, iteri ogni sei mesi. Per un profilo esposto — dirigente, funzione sensibile, esposizione mediatica — passi a tre mesi, e affidi idealmente il passaggio a un terzo: uno sguardo nuovo trova ciò che lei non cerca più, perché ha integrato che «quello è noto» e il suo cervello lo filtra. Conservi ogni tabella datata: il valore nasce dal confronto tra due iterazioni, non da uno scatto isolato. È confrontando che individua il leak apparso il trimestre scorso, la deindicizzazione che ha funzionato, o la carica che aveva dimenticato di sorvegliare.

Cosa comporta concretamente

Per lei, come persona

Lei vuole sapere cosa un reclutatore, un avversario o un ex può trovare su di lei in un’ora. Lo faccia prima di loro. Tre priorità, questa settimana, senza spendere più di qualche decina di euro.

  1. Verifichi tutti i suoi indirizzi email su HIBP — non solo quello attuale, ma ogni alias e ogni vecchia casella. Se una password appare e la usa ancora da qualche parte, la cambi oggi. È gratuito ed è il gesto a più alto rendimento.
  2. Testi il suo LinkedIn in navigazione privata — scollegato, profilo nuovo. Annoti ciò che vede uno sconosciuto: foto, percorso, relazioni, vecchi ruoli. Limiti ciò che non deve essere pubblico.
  3. Cerchi le sue cariche sul Registro delle Imprese e sulla Gazzetta Ufficiale — se ha o ha avuto una società, un’associazione, una società immobiliare, guardi cosa vi figura. Indirizzo, date, co-amministratori. Non può cancellarlo, ma deve sapere che è lì.

Per lei, CISO / Direzione IT / dirigente

1. Audisca l’esposizione delle sue persone chiave prima dei suoi avversari. Comitato esecutivo, funzioni sensibili, accessi privilegiati: non sono account, sono bersagli. Un attaccante che prepara una frode del CEOMappatura degli attori, motivazioni, capacità e impatti potenziali contro un obiettivo. comincia mappando il dirigente, il suo entourage, le sue abitudini. Conseguenza diretta: il suo perimetro di difesa include l’impronta personale dei suoi quadri, non solo il suo sistema informativo.

2. Lo tratti come intelligence difensiva, non come compliance. Non è né un audit GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. né una casella da spuntare. È OSINT rivolto, condotto con la postura dell’attaccante, il cui output è una decisione operativa per voce esposta. Conseguenza diretta: il deliverable non è un rapporto per il DPO, è un piano d’azione prioritizzato con un responsabile e una scadenza per ogni riga critica.

3. Esternalizzi lo sguardo, inquadri la frequenza. Lo faccia realizzare da un terzo — i suoi team interni hanno l’angolo cieco dell’abitudine. Conti dalle 2 alle 4 ore per persona, due volte l’anno per i profili esposti. Conseguenza diretta: un budget modesto e prevedibile a fronte di un rischio di ingegneria sociale che, esso, non lo è.

Errori che si vedono di continuo

  • Auditare una sola volta, senza ripetizione. Una fotografia scattata oggi è obsoleta tra sei mesi. Senza iterazione, non vede mai i nuovi leak né le nuove cariche.
  • Concentrarsi sull’indirizzo email attuale e dimenticare i vecchi, gli alias e gli usa e getta — che sono precisamente quelli che si trascinano nei vecchi dump.
  • Ignorare gli pseudonimi e gli handle storici. Il forum del 2008, l’account gaming, il vecchio Twitter: altrettanti ponti tra le sue identità, e ciò che la compartimentazioneSeparare le proprie identità per utilizzo (civile, pro pubblico, pro sensibile, operativo) per limitare la propagazione delle fughe. dovrebbe spezzare.
  • Saltare i registri legali credendo che riguardino solo «le grandi aziende». Una società immobiliare familiare o un’associazione basta a esporre un indirizzo di domicilio.
  • Dimenticare i metadati. Una foto pubblicata con i suoi dati EXIFMetadati allegati alle immagini: data, GPS, modello di dispositivo, parametri di scatto. intatti dà la sua posizione, là dove pensava di condividere solo un’immagine.
  • Non conservare alcuna traccia dell’audit. Senza tabella datata, impossibile confrontare, quindi impossibile misurare un progresso o una deriva.
  • Voler cancellare tutto. La cancellazione totale è illusoria e segnala paradossalmente qualcosa da nascondere. L’obiettivo è decidere, non sparire.

Checklist azionabile

  • N1 Verificare tutti i propri indirizzi email storici su HIBP
  • N1 Googlarsi con operatori (site:, filetype:, intitle:)
  • N1 Testare il proprio profilo LinkedIn in navigazione privata — annotare ciò che è visibile
  • N2 Verificare il Registro delle Imprese / Gazzetta Ufficiale per le cariche sociali
  • N2 Lanciare una verifica inversa sulla propria foto profilo principale
  • N2 Consultare la Wayback Machine sui propri vecchi domini o blog
  • N2 Controllare i metadati EXIF di qualche immagine pubblicata
  • N3 Formalizzare i risultati in una tabella di criticità e decidere per ogni voce: mutare, ritirare, accettare
  • N3 Per profilo esposto: incaricare un terzo per uno sguardo nuovo (2 h, 100-300 €)
  • N3 Pianificare la prossima iterazione (6 mesi standard, 3 mesi esposto) e archiviare la tabella datata

Per approfondire

Cominci dal gesto più redditizio e più rapido: passi i suoi indirizzi su Have I Been Pwned(opens in a new tab), è gratuito e immediato. Per strutturare un audit ricorrente e tracciare i grafi dei collegamenti tra le sue identità, Maltego Community Edition(opens in a new tab) resta il riferimento accessibile. Padroneggi gli operatori di ricerca avanzata di Google(opens in a new tab) — metà del lavoro sta nella query giusta. Per resuscitare le sue tracce antiche, la Wayback Machine(opens in a new tab) è insostituibile. E per misurare l’ampiezza reale del fenomeno in Italia, la relazione annuale del Garante(opens in a new tab) conferma che l’essenziale delle violazioni sfrutta dati già accessibili — esattamente quelli che questo audit le insegna a vedere.

Fonti e approfondimenti

Articoli correlati