Mat Honan, un giornalista statunitense, ha raccontato nei dettagli la storia di come un hacker si è impossessato della sua vita digitale, per poi cancellarla completamente. Per colpa di Amazon e Apple – ma altre aziende del mondo online potrebbero comparire in questa storia allo stesso modo.
L'attacco è stato messo a segno da un hacker che si fa chiamare Phobia, che dopo il misfatto ha contattato Honan per raccontare le proprie gesta. L'obiettivo era l'account Twitter del giornalista.
Mat Honan
Phobia e il suo socio però hanno preso possesso anche degli account Gmail e Apple di Honan, cancellando il primo e usando il secondo per resettare i suoi iPhone, iPad e MacBook. Il portatile, racconta Honan, conteneva dati personali persi per sempre; un problema per cui il giornalista non biasima che sé stesso, per non aver avuto la prudenza di fare copie di sicurezza.
Phobia non ha raggiunto il proprio intento tramite attacchi brute force o rubando dati personali con trojan e simili; ha sfruttato falle nei sistemi di sicurezza che tutti noi usiamo praticamente ogni giorno.
Il punto di partenza è stato l'indirizzo di posta elettronica Gmail, piuttosto facile da trovare per la maggior parte delle persone. L'hacker ha ipotizzato che fosse quello usato per Twitter, è così Google è diventato il bersaglio successivo. È bastato attivare la procedura di recupero password.
"Dato che non avevo attivato l'autenticazione in due passi, quando Phobia ha inserito il mio indirizzo Gmail ha potuto vedere anche quello alternativo che avevo impostato per il recupero. Google lo oscura parzialmente, ma la parte visibile era sufficiente. M****n@me.com. Tombola". Un'altra scelta di cui Honan si pente: aver diversi indirizzi tutti simili (mhonan@gmail.com, @me.com e @wired.com); comodo, sia per chi li usa sia per chi vuole violarli; anche in questo caso una cosa che facciamo in molti.
iCloud mette a rischio i dispositivi collegati
"Onestamente, si può penetrare in un'email associata con Apple" ha affermato Phobia. Ci vuole un po' di lavoro, ma non è difficile. Servono, oltre all'indirizzo di posta, anche quello fisico di fatturazione e le ultime quattro cifre della carta di credito. Per il primo esistono servizi di ricerca che, almeno negli USA, offrono informazioni piuttosto complete. In Italia potrebbe essere un po' più difficile, ma non molto.