Vai al sito Mister Credit

IL BLOG DI
MISTER CREDIT

Sicurezza tra le nuvole: l'hacking di un account Cloud


Quando vi abbiamo parlato dei servizi di cloud computing, abbiamo evidenziato come rischio più probabile il furto dei dati personali. Quale migliore esempio di un caso concreto per raccontare questo pericolo? Alcune settimane fa, un giornalista dell'edizione americana di Wired ha subito l'hacking del suo account iCloud (il servizio cloud di Apple). Dopo avervi segnalato la notizia sulla pagina Facebook di Mister Credit, approfondiamo l'accaduto qui sul blog. Mat Honan, questo il nome della vittima, utilizza quotidianamente iPhone e Mac per lavoro e per la sua vita privata, salvando i dati con backup periodici su iCloud. Quando, un pomeriggio, si è reso conto che non riusciva più ad accedere ai suoi file e che le impostazioni di telefono e computer erano cambiate, ha iniziato a preoccuparsi seriamente. Cos'era successo? Qualcuno era riuscito a entrare nel suo account iCloud, nei suoi indirizzi di posta Apple e Gmail e anche nel suo account Twitter, il tutto senza utilizzare strumenti informatici complessi ma solo grazie alle informazioni recuperate in rete e a un po' di ingegneria sociale. Il primo obiettivo degli hacker era prendere il controllo dell'account Twitter di Honan, poco più di una sfida. Per scoprire l'indirizzo email con cui Honan aveva registrato l'account sono andati sul suo sito, trovando un indirizzo Gmail. Da qui, gli hacker sono andati per tentativi. Per recuperare la password di Gmail, infatti, serve un secondo indirizzo di posta elettronica, che Google mostra pubblicamente solo in parte. In questo caso, l'indirizzo era di quelli offerti da Apple. L'assistenza clienti dell'azienda di Cupertino permette di modificare le informazioni del proprio account fornendo l'indirizzo di posta elettronica, l'indirizzo fisico del proprietario e le ultime quattro cifre della sua carta di credito. Gli hacker sono riusciti a recuperare questi dati in modo abbastanza semplice: per trovare l'indirizzo di casa è bastata una semplice ricerca online, ma per la carta di credito sono dovuti passare tramite l'assistenza clienti di Amazon. Gli hacker hanno chiamato, confermando l'identità con indirizzo email e indirizzo fisico, e hanno richiesto l'aggiunta di una seconda carta di credito oltre a quella già in possesso di Amazon. Una volta registrato il numero della seconda carta (fasullo, ma generato in modo da sembrare reale), hanno chiamato ancora l'assistenza di Amazon per chiedere il rinnovo della password dando come credenziali le ultime quattro cifre della carta di credito fasulla. Una volta dentro l'account di Amazon, hanno scoperto le ultime quattro cifre della carta di credito vera e le hanno utilizzate per cambiare la password dell'indirizzo di posta elettronica Apple. Entrare così nell'indirizzo Gmail e nell'account Twitter è stato un attimo. Gli hacker hanno poi cancellato tutti i file presenti su iCloud, arrecando un danno considerevole a Honan, che è riuscito a ripristinare i suoi account e a recuperare parte del materiale presente sul suo Mac (spendendo però 1.700 dollari per il lavoro di un'azienda specializzata). Apple ha dichiarato che le sue procedure di sicurezza interne non sono state completamente rispettate, ma la redazione della rivista Wired ha ripetuto l'esperimento, riuscendo a entrare in possesso di due account iCloud in pochi minuti. Questo episodio ci dice che la sicurezza dei servizi cloud non è ancora così elevata e che gli utenti devono prendere tutte le precauzioni necessarie per evitare intrusioni sui propri account, creando copie di password e codici di sicurezza da conservare in un luogo sicuro e attivando i servizi di verifica dell'accesso quando questi sono disponibili (Google, per esempio, offre un servizio di controllo che prevede l’invio di un codice sul telefonino).