Quella che vi raccontiamo oggi è la storia di Mat Honan, giornalista statunitense, e di come abbia visto sparire la propria identità digitale a causa di qualche cattiva abitudine, di un hacker e di alcune falle nella sicurezza di Apple ed Amazon.
La storia, raccontata in un articolo ricco di dettagli, spiega come un hacker (nickname Phobia) a scopo dimostrativo abbia rubato l'account Twitter del malcapitato giornalista, senza dover ricorrere ad attacchi del tipo brute force o al furto dei dati d'accesso mediante trojan o simili.
Per rubare l'identità digitale di Honan l'hacker ha sfruttato tutta una serie di falle nella sicurezza di servizi che usiamo quotidianamente. Si tratta dunque di un rischio che corrono quasi tutti gli utenti.
Vediamo come si è svolta la storia.
Falla in Gmail
Tutto è partito dall'account di posta elettronica su Gmail, per chiunque è abbastanza facile reperire un indirizzo di posta Gmail, tramite la ricerca utente e Google+, e supponendo che quell'email fosse stata usata per l'account di Twitter ha semplicemente proceduto al richiesta di recupero password, cosa che può fare chiunque.
Honan non aveva abilitato la funzione verifica in due passaggi che aumenta notevolmente la sicurezza degli account Google, quindi l'hacker è riuscito a scoprire anche l'indirizzo secondario usato per il recupero della password, che anche se parzialmente oscurato da Google restava comunque facilmente individuabile (M****Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).
La falla in Amazon
I dati di relativi alla carta di credito sono stati recuperati da Amazon.
Il callcenter di Amazon è veramente molto efficiente, forse anche troppo.
A Phobia è stato sufficiente spacciarsi per il titolare del conto (ormai molti dati importanti li aveva già recuperati) e chiedere di aggiungere una nuova carta di credito al proprio account (online è possibile generare finti numeri di carte di credito). Successivamente ha ricontattato l'assistenza clienti Amazon dicendo di aver smarrito le credenziali di accesso email e richiedendo la sostituzione con una nuova email utilizzando la nuova carta di credito come credenziale di riconoscimento.
Una volta ottenuto l'accesso all'account Amazon è un gioco da ragazzi recuperare le ultime 4 cifre della carta di credito.
La falla di Apple
Si può penetrare in un'email associata con Apple
Questa l'affermazione di Phobia, che partendo dall'account del servizio iCloud di Apple, ha preso possesso dell'iPhone, dell'iPad e del MacBook del malcapitato giornalista.
Impossessarsi dei dati di accesso ad un account Apple è difficile ma non è impossibile, servono:
- L'indirizzo email dell'account
- L'indirizzo fisico della fatturazione
- Le ultime 4 cifre della carta di credito
L'indirizzo email era già in suo possesso, quello fisico è stato facilmente recuperato tramite un servizio online che fornisce gli indirizzi dei cittadini statunitensi, la parte più difficile è stata recuperare i dati della carta di credito e grazie ad Amazon ora erano in suo possesso.
Furto degli account
Con tutti i dati necessari in suo possesso Phobia è riuscito ad impadronirsi dell'account iCloud di Mat Honan e di conseguenza ad accedere anche all'account Gmail.
Una volta recuperata la password di accesso a Twitter è stato necesario cancellare l'account Gmail per impedire a Hanon di recuperare l'accesso al social network.
Il reset dei dispositivi Apple (iPhone, iPad e MacBook) invece non era necessario, Phobia si dichiara dispiaciuto dell'accaduto e ne attribuisce la causa ad un "socio" che lo ha supportato durante tutta fase di hacking.
Dichiarazioni delle aziende coinvolte
Sino ad ora Amazon non ha commentato l'accaduto, mentre Apple ha scaricato la colpa sull'operatore "reo" di non aver seguito le procedure interne.
Purtroppo per Cupertino, la rivista Wired ha cercado di ripetere quanto fatto da Phobia, con successo, segno che alla Apple è prassi un comportamento simile da parte degli operatori.
Conclusioni di Mat Hanon
Il malcapitato giornalista si è detto rammaricato dell'accaduto, ma che ritiene colpevole sopratutto se stesso per la scarsa attenzione con la quale ha gestito i suoi account.
Sopratutto biasima se stesso per non aver fatto copie di backup dei dati contenuti sul MacBook, sull'iPhone e l'iPad, andati ormai perduti.
Conclusioni
Questa volta la responsabilità va data ad Apple ed Amazon per le falle nella sicurezza e la facilità con cui una terza persona è riuscita ad ottenere dati sensibili di account di cui non è proprietario, ma questo può accadere anche ad altre grandi aziende, chi sa che non succeda anche con Facebook, Microsoft ed altri.
D'altra parte anche Mat Honan ha le sue resposabilità, per la scarsa cura con cui ha gestito i suoi account e di non aver eseguito delle copie di backup dei dati contenuti nei suoi dispositivi.