Perdere tutto online

Un giornalista di Wired in poche ore si è ritrovato in un incubo di dati cancellati e account fuori controllo: una storia che riguarda potenzialmente molti di noi

Mat Honan scrive articoli per la versione statunitense della rivista Wired, ha collaborato per lungo tempo con il sito di tecnologia Gizmodo ed è il cofondatore di Longshot, progetto per realizzare una rivista in 48 ore su uno specifico tema con i contenuti forniti dagli utenti sul Web. Come molti di noi, nel corso degli anni Honan ha affidato a Internet dati e informazioni personali, attraverso le email, i servizi per salvare le foto online o per condividere contenuti sui social network. Una grande quantità di dati che a inizio agosto è stata spazzata via da un imprevisto attacco da parte di alcuni hacker. Come ha raccontato su Wired, in poche ore Honan ha visto scomparire tutto, compresa la possibilità di accedere ai suoi account, la cui password era stata cambiata. La storia ha fatto molto discutere online nelle ultime settimane, ha indotto le società coinvolte a rivedere alcune procedure in pochi giorni ed è interessante perché gli hacker non hanno usato complicati software per smanettoni o altri aggeggi per violare i sistemi: hanno sfruttato principalmente le mancanze e le debolezze delle soluzioni di sicurezza usate per i servizi online.

Tutto iniziò intorno alle cinque del pomeriggio di un venerdì. Honan stava giocando con sua figlia quando gli si spense l’iPhone. Era in attesa di una chiamata, quindi lo rimise immediatamente in carica e, dopo l’avvio, notò che le impostazioni del telefono si erano resettate. Pensò a un problema del software che fa funzionare lo smartphone di Apple e non diede troppo peso alla cosa, perché tanto aveva impostato il suo iPhone per eseguire periodicamente e in automatico il backup dei dati attraverso iCloud, il servizio per salvare i propri dati online così da averli sempre a disposizione.

Inserì le sue credenziali per accedere dal telefono ad iCloud, ma il sistema non accettò la sua password. Honan decise allora di collegare l’iPhone direttamente al suo computer, con il quale aveva effettuato di recente una sincronizzazione dei dati via cavo. Dopo aver acceso il Mac, vide comparire un messaggio di errore dell’applicazione Calendario (iCal) che era stata impostata per funzionare con i calendari online del suo account Google. Il messaggio lo avvisava che le credenziali di accesso erano errate.

Honan si rese conto che era probabilmente successo qualcosa di più grave di un semplice errore tecnico e capì che qualcuno era riuscito a entrare nei suoi account personali, cambiandogli le password. Staccò rapidamente la connessione a Internet casalinga e spense i computer collegati per evitare che potessero accadere altri disastri con i suoi dati. Poi prese il telefono della moglie e chiamò l’assistenza di Apple per farsi dare una mano. A fatica riuscì a ricostruire che qualcuno aveva chiamato l’assistenza fingendo di essere lui, aveva ottenuto il reset della password per iCloud ed era da lì riuscito a entrare in altri account di Honan, che erano collegati all’indirizzo email del servizio fornito da Apple o a quello di Gmail dopo averne ottenuto l’accesso.

Grazie a questo sistema, gli hacker in pochi minuti disposero la cancellazione dei dati presenti sull’iPhone di Honan. Lo fecero attraverso il servizio “Trova il mio iPhone” che serve a chi perde il dispositivo per cancellare in remoto le informazioni che contiene, evitando che possano finire in mano a qualcun altro. Fecero poi qualcosa di analogo con il suo portatile MacBook, gli cancellarono l’account di Google e infine entrarono nel suo account Twitter, pubblicando un tweet dove veniva annunciata la violazione dell’account.

 

In pochi minuti Honan perse buona parte dei suoi dati online. Ma come fecero gli hacker a ottenere i dati necessari per accedere agli account e cancellare le informazioni? E perché lo fecero?

Nelle ore seguenti Honan cercò di capirlo, aprendo temporaneamente un nuovo account su Twitter e un Tumblr, su cui raccontò una prima ricostruzione di quanto accaduto chiedendo anche consigli e suggerimenti. Un utente, che poi si identificò come Phobia, iniziò a seguire il suo nuovo account su Twitter e Honan fece altrettanto con il nuovo lettore. Tra i due iniziò una fitta corrispondenza nei messaggi privati di Twitter, poi via email e successivamente attraverso un servizio di chat. Phobia aveva partecipato all’operazione contro gli account di Honan e gli propose di spiegare come erano andate le cose, a patto che Honan rinunciasse a fargli causa.

Con sua grande sorpresa, Honan scoprì che il motivo fondamentale dell’hacking era dovuto a una cosa molto banale: qualcuno aveva notato che su Twitter aveva un nome molto breve di sole tre lettere “@mat” e pensò che potesse essere interessante ottenerne il controllo. Niente di personale, quindi, solo il gusto di violare quell’account e fare un po’ di casino.

La cosa andò così. Dopo aver notato l’account su Twitter, il gruppo di hacker in cui c’era anche Phobia iniziò a cercare qualche informazione su Mat Honan. Dal profilo di Twitter risalirono al suo sito web e lì trovarono, tra i contatti, l’indirizzo email di Gmail del loro obiettivo, pensando che fosse lo stesso utilizzato per la registrazione a Twitter. Phobia andò sulla pagina del recupero password di Google, quella per chi si dimentica la parola di accesso e ne deve quindi impostare una nuova. Per farlo, Google invia una mail a un indirizzo di posta elettronica alternativo, che deve essere inserito dall’utente quando si iscrive al servizio. L’indirizzo sulla pagina di recupero non è completamente visibile ed è in parte oscurato dagli asterischi. Quello di Honan che Phobia si trovò davanti era “m****n@me.com”, indirizzo di posta offerto da Apple e facilmente ricostruibile considerati il nome e il cognome della persona coinvolta.

Ottenendo il controllo dell’indirizzo di posta Apple, gli hacker si sarebbero potuti far inviare un codice per impostare una nuova password su Gmail per entrare nella posta elettronica e accedere all’account di Twitter, dopo aver eseguito il reset anche della password del social network. Farlo si rivelò meno complicato di quanto si possa immaginare: chiamando l’assistenza di Apple è possibile modificare le informazioni del proprio account dopo aver fornito l’indirizzo email, l’indirizzo di residenza del proprietario della casella di posta elettronica e le ultime quattro cifre della sua carta di credito.

Per l’indirizzo di residenza gli hacker eseguirono una ricerca su Whois, il sito che dà informazioni sui proprietari dei siti web. Basta inserire nel sistema di ricerca un indirizzo e si ottengono le informazioni su chi lo ha registrato e, in molti casi, sul luogo in cui vive. Lo fecero con il sito personale di Honan, ottenendo in pochi istanti l’indirizzo di casa. In assenza di questo sistema sarebbero probabilmente risaliti alle stesse informazioni consultando gli elenchi telefonici online.

Le cose si fecero un po’ più complicate per ottenere gli ultimi quattro numeri della carta di credito di Honan associata all’account Apple. Gli hacker telefonarono ad Amazon, supponendo che Honan potesse avere un account registrato presso la società con il suo indirizzo email. L’hacker che chiamò l’assistenza di Amazon comunicò l’indirizzo di posta elettronica di Honan dicendo di essere il proprietario dell’account, e quelli di Amazon verificarono l’informazione chiedendo l’indirizzo di residenza indicato al momento dell’iscrizione (quindi quello trovato tramite Whois). A questo punto il finto Honan comunicò di volere aggiungere un nuovo numero di carta di credito al suo account, e ne diede uno fasullo creato da un sito che consente di ottenere numeri non associati a carte di credito reali, ma combinati in modo tale da risultare autentici ai sistemi di verifica quando vengono inseriti.

Terminata l’operazione, e atteso qualche minuto, gli hacker fecero una seconda telefonata ad Amazon dicendo di avere perso la password di accesso all’account del servizio per lo shopping online. Fornendo come ulteriore verifica il numero della propria carta di credito, Amazon consente di aggiungere un secondo indirizzo mail cui inviare il link per reimpostare la password dell’account. Gli hacker diedero il numero fasullo di carta di credito fatto aggiungere nella telefonata precedente all’account di Honan, ottenendo così un sistema per resettare la password.

Ottenuto il controllo dell’account Amazon, gli hacker riuscirono ad accedere alle informazioni inserite da Honan quando si era registrato sul sito. Per motivi di sicurezza, Amazon nelle impostazioni dei singoli account non mostra tutti i gruppi di quattro cifre delle carte di credito, ma solo l’ultimo. Agli hacker fu sufficiente copiare gli ultimi quattro numeri visibili della carta di credito di Honan (quella reale, non quella fasulla aggiunta apposta per aggirare la sicurezza di Amazon) e utilizzarli per reimpostare al telefono l’account dei servizi iCloud forniti da Apple.

Chiamarono l’assistenza di Apple e in pochi minuti, dando informazioni come l’indirizzo di residenza e gli ultimi quattro numeri della carta di credito, furono in grado di entrare all’interno della posta elettronica di iCloud. A questo punto, avendo il controllo sull’indirizzo email scelto da Honan per il recupero password di Google, gli hacker riuscirono a entrare anche in Gmail e da lì a ottenere le credenziali di accesso a Twitter. Un processo abbastanza lineare e a cascata, che consentì di controllare l’account di Twitter. Nel processo, a detta di Phobia per scelta dell’hacker che collaborò con lui, uno degli effetti più spiacevoli e non comprensibili fino in fondo fu la decisione di cancellare i dati dall’iPhone di Honan, dalla sua casella Gmail e dal suo MacBook.

Phobia ha spiegato a Honan di avere appena 19 anni e di avere svolto questo tipo di esperimento per dimostrare quanto siano esposti i dati di ognuno di noi online. Ha detto di essere molto dispiaciuto per la cancellazione dei dati e che, ripensandoci, avrebbe probabilmente fatto le cose diversamente. Honan in un certo senso è comunque grato a Phobia per non essersi spinto troppo oltre: avendo l’accesso alla sua casella principale di posta elettronica avrebbe potuto ottenere altre informazioni private, utili per accedere ai suoi conti online, per esempio. Apple ha spiegato a Wired che in realtà l’assistenza dovrebbe seguire procedure più elaborate per la verifica dell’identità di chi la consulta per recuperare i propri account e che le regole, probabilmente da qualche impiegato coinvolto nella vicenda, non sono state seguite alla lettera fino in fondo.

Come ammette lo stesso Honan, questa vicenda offre comunque alcune lezioni che è bene tenere a mente. Prima di tutto, chi ha un account Google farebbe molto bene ad attivare il prima possibile il servizio di doppio controllo offerto dalla società per l’accesso ai suoi siti. Il sistema ricorda quello usato da diverse banche per i servizi online: dopo aver inserito nome utente e password si riceve un sms sul proprio cellulare con un codice numerico da inserire, in assenza di quello la strada è sbarrata. Se Honan avesse attivato il servizio, gli hacker probabilmente non avrebbero ottenuto la serie di informazioni necessarie per arrivare agli altri suoi account. La verifica in due passaggi di Google può essere attivata da qui, ci vuole un po’ per impostarla, ma è una soluzione molto buona, gratuita ed efficace per ridurre il rischio di brutte sorprese.

La vicenda di Honan dimostra anche che gli attuali sistemi legati alle tecnologie cloud, per salvare le cose online e averle sempre accessibili, devono essere ancora migliorati e resi più sicuri per evitare che con un’intrusione qualche malintenzionato possa cancellare anni di dati. La sicurezza di queste informazioni diventerà fondamentale nel prossimi anni, considerato che tutte le più grandi società tecnologiche da Microsoft a Google passando per Apple stanno spingendo per sistemi di questo tipo, che permettono di avere sempre con sé i propri file a prescindere dal dispositivo che si sta utilizzando.

Infine, è bene ricordare che periodicamente sarebbe meglio eseguire il backup dei propri dati su dvd, penne USB, memory card o dischi rigidi rimovibili, specialmente delle informazioni cui teniamo maggiormente. Esistono decine di diversi servizi che lo fanno automaticamente, anche scollegati dalla Rete e quindi al riparo da possibili intrusioni non autorizzate. Come in tutte le cose è necessario un po’ di buon senso: la protezione dei propri dati non deve diventare un’ossessione, ma una buona pratica per non avere rimpianti dopo, quando spesso è troppo tardi, come è successo a Honan.