“Apple prende sul serio la privacy dei clienti e richiede molteplici forme di verifica prima di resettare la password ID Apple” Cupertino risponde ufficialmente al clamoroso furto dell’identità digitale iCloud di Mat Honan, giornalista di Wired che si è visto azzerate tutti i dati e i contatti conservati sulla nuvola digitale della Mela, senza che potesse fare nulla per bloccare il furto. “In questo caso particolare, i dati del cliente sono stati compromessi da una persona che ha acquisito informazioni personali del cliente” a parlare è Natalie Kerris, portavoce di Apple sentita da Wired dopo la pubblicazione dell’avvenuto hack di cui abbiamo riferito ieri.
Come temuto il furto è stato possibile anche grazie alle informazioni carpite a un addetto all’assistenza telefonica della Mela, tramite una tecnica che gli hacker definiscono di ingegneria sociale, in sostanza utilizzare brandelli di informazioni raccolti altrove per far credere all’addetto che l’identità di chi è al telefono sia realmente quella dell’utente dell’account. Apple si sta muovendo rapidamente per evitare che episodi simili possano riptersi:
“Inoltre, abbiamo riscontrato che le nostre politiche interne non sono state rispettate completamente. Stiamo rivedendo tutte le nostre procedure per il ripristino delle password degli account per garantire che i dati dei nostri clienti siano protetti”.
L’ingegnosa tecnica impiegata per azzerare l’account iCloud è stata illustrata nei dettagli dagli hakcer stessi al giornalista di Wired: in breve dopo aver ottenuto l’indirizzo gmail gli hacker sono entrati nell’account Amazon di Honan e inserendo una nuova carta di credito fasulla, sono riusciti a carpire gli ultimi 4 numeri della carta di credito reale dell’utente. Il nome dell’account e le ultime 4 cifre della carta di credito sono stati poi sufficienti per far credere all’addetto Apple che l’hacker fosse il vero titolare dell’account, rilasciando una password per l’accesso a iCloud.
Il dettaglio più terribile della vicenda è questo: sfruttando la stessa tecnica i giornalisti di Wired sono riusciti a ottenere l’accesso di due utenti iCloud a caso nel giro di pochi minuti, dimostrando che il successo dell’hack non è fortuito e che in molti casi può essere ripetuto con successo. Oltre al social engineering l’hack sfrutta anche brandelli di informazioni reperiti altrove: oltre a rivedere le procedure interne che gli addetti all’assistenza devono rigorosamente rispettare, Apple, Amazon e gli altri colossi IT che promuovono le piattaforme cloud devono rivedere le policy interne per la sicurezza, non solo limitatamente ai propri sistemi ma più in generale, in relazione con i sistemi di altre società, anche concorrenti. In attesa che questo avvenga, potrebbe anche non accadere, la responsabilità della sicurezza della propria vita digitale è nella mani degli utenti che non devono mai utilizzare più volte le stesse password, le caselle email e altri dati ma diversificare il più possibile.
