Sta per scoppiare un bubbone, ed è francamente sorprendete che la cosa sia passata così in sordina. Stando ad un recente articolo di Bloomberg, sembra che una società utilizzata da Twitter per inviare gli SMS dell’autenticazione a due fattori, spiasse gli utenti e inviasse a terzi dati privati. Ecco cosa significa e perché dovresti adottare immediatamente sistemi di riconoscimento più robusti.
Il riconoscimento via SMS è pratico, ma poco sicuro; su questo non ci piove. Nel protocollo di trasmissione della messaggistica mobile esistono bug noti da anni che tuttavia sono ancora lì, come la cosiddetta vulnerabilità SS7 che permette di ascoltare le chiamate, leggere i messaggi di testo o rilevare la posizione di un utente a sua insaputa.
Ora emerge che Mitto AG, una startup che si occupava di inoltrare SMS di autenticazione per conto di Twitter, forse studiasse il comportamento degli utenti e vendesse ai governi tali informazioni per localizzare le persone di interesse; in qualche caso, si parla addirittura del log dell chiamate. Così almeno testimonia il co-fondatore della società.
“Twitter Inc. ha rivelato a un senatore USA che sta tagliando i ponti con una società di tecnologia europea che la aiutava a inviare codici di accesso agli utenti attraverso i messaggi di testo. La società di social media ha affermato […] di essere in corso di “transizione” dai servizi di Mitto AG, a quelli Wyden. Uno dei co-fondatori di Mitto gestiva un servizio che aiutava i governi a sorvegliare segretamente e tracciare telefonini, secondo le ricostruzioni gli ex impiegati e clienti”
Intanto che sulla faccenda si faccia chiarezza, è imperativo che viri tutte le tue procedure di Autenticazione a Due Fatturi su sistemi più sicuri del vecchio SMS. Meglio puntare su Google Authenticator; e se ciò non fosse possibile, fai sempre affidamento alla feature di compilazione automatica di Apple che protegge dal phishing.