Ricorderete senza dubbio la vicenda di Mat Honan, l’autore di Wired il cui account iCloud è stato violato a causa dei passi falsi del Supporto Tecnico Apple. Oggi, un portavoce di Cupertino conferma ufficialmente l’errore, ma la paura per l’incolumità della privacy resta.
Se da una parte Apple si fa parzialmente carico della responsabilità dell’accaduto, dall’altra evita di spiegare nel dettaglio come sia potuto succedere. Queste le parole del portavoce della società Natalie Kerris:
“Apple prende la privacy degli utenti molto seriamente, e richiede multiple forme di verifica prima di effettuare il reset della password di un Apple ID. In questo caso particolare, i dati del cliente sono stati compromessi da una persona che aveva avuto accesso alle informazioni confidenziali del cliente. In più, abbiamo scoperto che le nostre policy interne non sono state del tutto seguite. Stiamo rivedendo tutti i nostri processi per il reset della password per essere sicuri che i dati dei nostri clienti siano protetti.”
Aspettiamoci dunque un po’ meno elasticità da parte del Supporto Tecnico, e un’aderenza maggiore alle linee guida. Ciò che spaventa sul serio, tuttavia, è che quelli di Wired siano riusciti –con tecniche analoghe– a riprodurre la violazione su un altro account:
Lunedì, Wired ha tentato di verificare la tecnica di accesso degli hacker eseguendola su un account diverso. Ci siamo riusciti. Ciò implica, in ultima istanza, che oltre all’indirizzo mail di qualcuno basta avere altre piccole informazioni facilmente reperibili: cose come un indirizzo di fatturazione o le ultime quattro cifre della carta di credito su di un file.
Tutte attività che non hanno bisogno né dell’accesso alla corrispondenza privata del cliente sotto attacco, né di sofisticate tecniche di hacking. Ecco nel dettaglio quanto sarebbe accaduto:
Come nota Honan, un indirizzo di fatturazione si può determinare con facilità sulle pagine bianche o dando un’occhiata alla registrazione d’un dominio. Per quanto concerne le ultime quattro cifre della carta di credito di Honan, l’hacker ha usato un buco nei sistemi di sicurezza di Amazon che per l’appunto non proteggono le ultime quattro cifre della propria carta di credito. L’hack richiede un paio di telefonate ad Amazon. Nella prima, Amazon consente di aggiungere una seconda carta di credito all’account fornendo solo indirizzo di fatturazione, nome e indirizzo mail. Poi, con una seconda chiamata si aggiunge un ulteriore indirizzo mail per verificare la seconda carta di credito precedentemente aggiunta. Questo secondo indirizzo mail ha quindi accesso alle informazioni dell’account, comprese le ultime quattro cifre della carta di credito originale.
Insomma, occhio alle informazioni che pubblicate online e, soprattutto, alla combinazione di servizi di cui vi avvalete. Poi per carità, è abbastanza evidente che quello rivolto a Honan sia stato un attacco mirato, ma in attesa che Apple metta mano alla faccenda, meglio tenere sott’occhio gli account Amazon ed iCloud. Hai visto mai.