Altro scivolone di AT&T: una falla nel suo sistema di gestione degli account dei clienti iPad avrebbe potuto, potenzialmente, esporre miglia di indirizzi di posta elettronica ad un hacker a conoscenza del bug e delle nozioni tecniche sufficienti per ricavare le infomazioni.
La scoperta dell’imbarazzante problema è frutto delle ricerche di Goatse Security, un gruppo di hacker che in passato ha fatto molta notizia per i discutibili metodi (e le immagini) usate per dimostrare i bug di sicurezza. Usando uno script liberamente reperibile su Internet è stato possibile mietere migliaia e migliaia di indirizzi di posta elettronica, in tutto 114mila. L’operazione non è stata solo elaborata in teoria, ma applicata in pratica visto che su Internet, postati da qualcuno che ha avuto accesso anticipato alle informazioni successivamente diffuse da Goatse Security, sono apparsi lunghi elenchi di utenti “Vip”, da manager di grandi aziende a politici, da magnati della finanza a personaggi dello spettacolo. Nell’elenco anche i dati di posta elettronica di militari di rango elevato, uomini del department of homeland security, dipendenti delle corti federali di giustizia. Assieme all’indirizzo email sono stati pubblicati anche i cosiddetti ICC ID, l’identificativo che la scheda SIM usa per collegarsi al network.
Goatse Security, che sostiene di avere contattato AT&T, ha già provveduto a chiudere il buco, ma allo stato attuale delle cose nessuno è in grado di dire quali danni abbia provocato il bug nella sicurezza e nelle mani di chi siano finiti gli indirizzi email né se ci siano altre “porte di ingresso” nel sistema di AT&T. La fluidità della situazione ha spinto, ad esempio, il New York Times a consigliare ai suoi dipendenti di spegnere l’accesso 3G di iPad “fino a successiva comunicazione”.
AT&T ha ammesso il problema tentando però di minimizzarlo: “Gli unici dati che si possono ottenere – dice l’operatore mobile – sono le informazioni connesse all’indirizzo email. Stiamo informando i clienti che sono stati coinvolti in questa vicenda. AT&T affronta la privacy molto seriamente e, nonostante abbiamo già provveduto a riparare all’errore, ci scusiamo con i nostri clienti”. Da quanto riferisce AT&T però non sarebbe stata Goatse Security a segnalare il bug: “La persona o il gruppo che hanno scoperto il buco – dice l’operatore mobile gettando controversia su tutta la vicenda- non hanno contattato AT&T. Siamo stati avvertiti da un nostro cliente Business”. Alcuni siti sospettano, in effetti, che le immagini postate per provare il bug siano state diffuse dalla stessa Goatse Security.
Gawker Media, l’editore che con le sue testate Gizmodo e Valleywag ha per primo riportato la vicenda, approfitta dell’occasione per rinfocolare la polemica che ha in atto con Apple dal giorno in cui ha deciso di pubblicare le informazioni sull’iPhone trovato in un bar e acquistato per un servizio giornalistico. “Anche se il buco di sicurezza è confinato ai server AT&T, Apple porta sulle sue spalle la responsabilità di garantire la privacy dei suoi clienti che forniscono alla società i loro indirizzi email per attivare gli iPad. Questo è specificatamnente il caso, visto che per l’iPad 3G non c’è scelta in fatto di operatori mobili. AT&T ha l’esclusiva, almeno per ora, Visto che c’è questo tipo di obbligatorietà e uno stretto vincolo di iPad con la rete cellulare di AT&T, Apple ha la responsabilità di tenere sotto controllo chi opera i network da lei prescelti e con i quali decide di condividere i dati dei suoi clienti”.
L’abbinata costituita dalla discussa e discutibile, per i metodi, Goatse Security e Gawker Media, che allo stato attuale delle cose non può sicuramente essere considerata come una parte del tutto libera da condizionamenti nella vicenda, hanno come fonte primaria dell’informazione, sta portando alcuni esperti del settore a tenere un profilo basso nel giudizio. In ogni caso la stragrande maggioranza degli osservatori indipendenti ritiene che, chi eventualmente dovrebbe realmente preoccuparsi sia AT&T, una società che già conta su un’immagine non del tutto perfetta in quanto a qualità di servizio e che con questa vicenda corre il rischio di venire sommersa da pubblicità negativa. In molti si stanno chiedendo quante siano le possibilità che il bug colpisca gli utilizzatori di altri dispositivi oltre ad iPad, nome che fa certo notizia e torna comodo per i titoli sui giornali, ma che rappresenta una frazione infinitesimale dei dispositivi gestiti dall’operatore mobile americano.
Grazie della segnalazione a numerosi lettori.