I dati della carta di credito sono gentilmente offerti da Amazon: basta chiamare il servizio clienti fingendosi un altro utente, spiegando che si vuole aggiungere una nuova carta (un falso numero si può generare online facilmente); bastano il nome e l'indirizzo di fatturazione, ottenuti in precedenza.
Poi si chiama Amazon un'altra volta, questa volta dicendo di aver perso accesso all'account, e si usa la nuova carta di credito come credenziale. Si fornisce un nuovo indirizzo di posta elettronica, e si chiede l'invio di una nuova password. A questo punto si può entrare nell'account del sito di e-commerce, e vedere le ultime quattro cifre delle carte di credito associate.
Amazon ha dato il proprio contributo a questo attacco
"Tra l'altro non c'è nemmeno bisogno di scomodare Amazon. Il ragazzo che prende gli ordini della pizza a domicilio ha nelle mani gli stessi dati", specifica Honan nel suo racconto.
Raccolti i dati, Phobia ha chiamato il servizio clienti Apple. Non conosceva tutte le risposte alle domande di sicurezza, ma l'operatore telefonico lo ha comunque riconosciuto come il legittimo proprietario dell'account, e ha spedito tutti i dati di accesso a un nuovo indirizzo controllato dall'hacker.
A questo punto Phobia aveva accesso a a iCloud, che a sua volta ha aperto le porte di Gmail. La cancellazione dell'account Google a quanto pare serviva solo per assicurarsi che Honan non potesse recuperare il controllo del proprio profilo Twitter, mentre resettare i dispositivi, in particolare il MacBook, è stata una cattiveria gratuita che l'hacker attribuisce al suo partner, e della quale si dice dispiaciuto.
Honan di certo avrebbe potuto farsi un backup dei dati, e prendere misure di sicurezza più rigide per i propri account, ma resta il fatto che la sua posizione riflette quella di milioni di consumatori in tutto il mondo. Non si può certo dare tutta la colpa a lui.
Amazon non ha rilasciato commenti su questa storia, mentre Apple ha cercato di scaricare il barile sull'operatore telefonico, che avrebbe violato le procedure interne. I redattori di Wired però sono riusciti a ripetere l'operazione di Phobia senza molta fatica, segno che da parte di Apple non si tratta di un'eccezione.
I pericoli del mondo digitale sono ancora misteriosi
Amazon ed Apple hanno sostanzialmente regalato a Phobia l'accesso all'account di un altro, senza fare troppe domande. E poteva trattarsi di Facebook, di Google, di Microsoft e così via: il problema è che più la nostra vita digitale si lega ai servizi online, e più i modelli di sicurezza tradizionali (nome utente e password) si rivelano inadeguati.
La sicurezza dei dati personali, non solo quelli delle aziende, deve quindi diventare il tema centrale dei prossimi anni. Dai fornitori dei servizi al singolo utente, è fondamentale che si diffonda una cultura della sicurezza più profonda, e allo stesso tempo che nascano sistemi più efficaci di quelli attuali. Senza che per questo trovino spazio il panico e la paranoia, buone solo per chi vende chiavi e lucchetti.