Basta un po' di faccia tosta per rubare un account Facebook, non serve essere hacker o sedicenti esperti in sicurezza informatica. Le nostre informazioni sono esposte anche se abbiamo abilitato l'autenticazione in 2 fattori (2FA), strumento che in teoria dovrebbe invece impedire proprio che un estraneo acceda senza permesso al nostro account.
Una nuova conferma di tale situazione arriva dagli Stati Uniti, dove Aaron Thompson una mattina si è svegliato per scoprire di non poter più accedere al suo account. E con esso a tutte le pagine che gestisce – tutte insieme raccolgono milioni di fan.
Thomson ha controllato la mail associata all'account, e ha trovato una conversazione avvenuta tra uno sconosciuto e il servizio clienti. È importante sottolineare che la mail non è stata violata: i messaggi sono semplicemente inoltrati automaticamente dalla chat di Facebook.
L'aggressore non ha dovuto far altro che contattare il servizio clienti dicendo di aver perso il telefono e l'accesso alla mail, e quindi di non poter più acceder all'account protetto con 2FA. A questo punto il servizio clienti Facebook gli ha chiesto di dimostrare la sua identità.
Ecco quindi la scansione di un passaporto falso; tutti i dati riportati sono sbagliati, a eccezione di nome e cognome. Tanto è bastato all'aggressore per eliminare la protezione e ottenere il controllo sull'account, del quale ha subito cambiato password ed email associata – tagliando fuori il legittimo proprietario.
Da una breve simulazione fatta qui in redazione, ci sembra probabile che l'aggressore avesse già almeno alcune informazioni personali della vittima - quelle necessarie per rispondere alle domande di sicurezza per esempio. Non è detto invece che conoscesse già la password, ma è sicuramente possibile visto che l'obiettivo era convincere il tecnico Facebook a disabilitare la 2FA; il punto è che la 2FA dovrebbe tutelare l'utente proprio nel caso qualcuno gli sottragga la password. Insomma ci ha lavorato, ma non stiamo parlando di un genio dell'hacking – non nel senso di manipolare le macchine almeno.
Ai tecnici Facebook si è rivolto anche Thomson e nel giro di alcuni giorni ha recuperato l'accesso al suo account e alle pagine che gestisce. Un portavoce di Facebook, nel frattempo, ha dichiarato che accettare quel passaporto "è stato un errore che viola le nostre politiche interne, non è la norma".
E grazie tante, vien da dire. Intanto a qualcuno è bastato fare la scansione di un passaporto e ritoccarla con Photoshop (esempio simbolico) per prendere il controllo di un account. E lo ha fatto usando una tecnica, l'attacco tramite servizio clienti, che non è affatto una novità: si fa da due decenni almeno, ed è ancora lo strumento perfetto per ignorare le protezioni di natura tecnica sui dati dei consumatori.
Prima o poi, è una cosa che ha colpito tutti, non solo Facebook. Conti bancari, utenze domestiche, account di videogiochi online, piattaforme di streaming. Più o meno funziona sempre. Eppure Facebook ha ancora delle "politiche interne" esposte all'errore umano. Non è accettabile, non per un colosso a cui diamo in pasto dati sensibili e giri d'affari enormi. Come suggerisce lo stesso Thomson, in un caso simile dovrebbe essere semplicemente impossibile recuperare l'accesso velocemente. Anzi, a ben guardare sarebbe desiderabile da parte di chiunque, a partire dalle banche.
Se per esempio Facebook obbligasse a un'attesa di qualche giorno, il tempo necessario per verificare un documento e per consentire a un eventuale vittima di intervenire, sarebbe sufficiente. A onor di cronaca, aggiungiamo che nella nostra simulazione siamo arrivati al blocco dell'account per 24 ore, dopo essere "riusciti" a sostituire l'email.
Il principio sottostante è comunque sempre quello: favorire l'usabilità sulla sicurezza. Un sistema più solido sarebbe più complicato, macchinoso, noioso. E per il fornitore questo non è desiderabile.
Si perché se qualcuno davvero perde l'accesso e poi non può recuperarlo per diversi giorni, magari diventa un cliente arrabbiato. E se sono tanti magari alla lunga la questione diventa una vera seccatura. In favore di una maggiore sicurezza sarebbe accettabile?