Un hacker sedicenne ha messo in crisi la sicurezza di praticamente tutte le più grandi aziende del settore tecnologico e non solo. Si fa chiamare "Cosmo the God", ed è riuscito a superare anche l'autenticazione in due fasi di Google - ritenuto uno degli strumenti più sicuri al mondo.
Il ritratto del giovane pirata ricorda per alcuni aspetti quello di Anonymous tracciato dal giornale inglese The Guardian, ed è stato fatto da Matt Honan, il giornalista che qualche settimana fa ha subito personalmente gli effetti nefasti di un'intrusione illecita. Ora in un carcere minorile, Cosmos è la persona che per prima (o tra i primi) ha scoperto con quale facilità imbarazzante si possano ottenere dati personali di altri da aziende come Amazon, Paypal, Microsoft, Netflix, Apple e altri. Basta qualche telefonata, qualche dato fittizio creato apposta, e il gioco è fatto.
Cosmo the God, fotografato per Wired USA
Cosmo faceva parte di un gruppo noto come UGNazi, che nonostante le apparenze non sembra avere particolari tendenze razziste o xenofobe - ma certamente un pessimo gusto nella scelta dei nomi. Sono noti per aver portato a termini operazioni di grande portata contro siti governativi degli Stati Uniti o aziende come Cloudflare - in quest'ultimo caso l'obiettivo era il noto sito 4chan.
Come spesso accade in questi casi, la vita del gruppo è stata piuttosto breve ma ha lasciato il segno, perché sono riusciti a portare a termine diversi colpi e anche a superare una delle protezioni ritenute più solide, vale a dire l'autenticazione in due fasi di Google.
Chi attiva questa funzione in teoria si assicura che nessuno possa accedere al proprio account Google, perché bisogna possedere anche un telefono per ricevere tramite SMS un codice di conferma. Cosmo però è riuscito a superare questo ostacolo semplicemente risalendo al numero di telefono della vittima.
Quest'ultima è Matthew Prince, massimo dirigente di CloudFlare; l'azienda offre un servizio di caching online per molti siti web in tutto il mondo, e tra questi c'è anche il noto 4chan - l'obiettivo finale dell'operazione. Il primo passo è stato comprare il numero di Sicurezza Sociale (simile al nostro codice fiscale) di Prince, semplicemente acquistandolo per meno di quattro dollari da un'organizzazione illegale che si dedica a tale attività.
Il quartiere dove Cosmo viveva ed è stato arrestato
Poi hanno chiamato la compagnia telefonica (AT&T) per attivare un trasferimento di chiamata su un numero Google Voice, in modo da ricevere il codice necessario a ripristinare l'account Gmail. È bastato nome, numero di Sicurezza Sociale e data di nascita, ma non il numero di telefono.
A questo punto c'è un'incongruenza però: Cosmo afferma che con questa tecnica ha ricevuto personalmente il codice di sicurezza inviato da Google, ma l'azienda di Mountain View e lo stesso Prince negano sia possibile, perché l trasferimento funzionerebbe solo per le chiamate vocali. Google inoltre ha affermato che Cosmo ha sfruttato una vulnerabilità nel sistema che poi è stata risolta, con un'intervento rapido ma a posteriori non dissimile da quello messo in pratica da Amazon ed Apple.
In ogni caso Cosmo è penetrato nell'account GoogleApps di Prince, e da lì nel sistema di CloudFlare. Da qui avrebbe potuto fare danni enormi, ma i ragazzi di UGNazi si sono limitati a modificare i DNS di 4Chan in modo da ridirigere i visitatori al loro account Twitter, e ottenere così qualche ora di notorietà. Un'azione eclatante ma non isolata, come si può leggere nel lungo (e verboso) articolo di Honan.
Ripensandoci, forse anche i call center hanno bisogno di laureati
Il punto comune di tutte queste violazioni non è tuttavia una vulnerabilità informatica. In tutti i casi la violazione è stata possibile ingannando un essere umano con una chiamata telefonica, nella quale l'hacker riusciva a spacciarsi per qualcun altro e a ottenere dati personali di un'altra persona. Si tratta della pericolosa arma del social engineering, uno strumento raffinato ed efficace contro il quale non abbiamo a disposizione molte barriere.
Non ancora per lo meno, ma si sente sempre più pressante la necessità di formazione specifica per chi lavora nel servizio clienti, perché è chiaro che un call center può diventare un pericoloso Cavallo di Troia. Una formazione che, però, dovrebbe cominciare a scuola: se già da giovani c'insegnassero come proteggere al meglio la nostra vita digitale, forse da adulti correremmo meno rischi.