“Subire un furto di identità virtuale“. Sono 36 caratteri, che letti così come sono, in una frase di sei parole, si traducono in un concetto. Quando lo si vive personalmente, diventano stupore, sgomento, ore passate al telefono, fastidi e perdita di cose care, davvero care. E’ quanto accaduto al giornalista di Wired, Mat Honan: il pezzo che segue descrive un reale furto di identità da parte di un hacker, tramite l’uso di Amazon ed Apple. Il racconto è stato possibile grazie alla paradossale disponibilità dello stesso pirata informatico, che ha accettato di spiegare alla sua vittima le modalità con cui è riuscito a prendere il controllo dei principali account sparsi per il web di Honan.

Tutto parte su Twitter

Il pirata informatico è innanzitutto un ragazzino di 19 anni, cresciuto in mezzo ai computer e dedito alla programmazione, che si fa chiamare Phobia. E’ un bel giorno quando Phobia naviga su Internet e incontra un profilo Twitter. Il nome del proprietario gli sta simpatico, crea nella sua mente un’assonanza piacevole, o le parole gli ricordano qualcosa: insomma, l’hacker sceglie, per puro caso, di attaccare il signor Mat Honan. Il fatto che questo sia un giornalista di Wired lascia immaginare che l’obiettivo sia meno casuale di quanto si voglia raccontare, ma facciamo finta di credere al giovane criminale.

Phobia non ha nulla di personale contro Honan, si tratta di una sfida con se stesso, e la sua azione inizia da una scrupolosa analisi del profilo di Twitter del giornalista, che gli permette di farsi una prima idea di chi sia Mat. Nei pochi caratteri che su Twitter ha a disposizione l’utente medio, Mat ha aggiunto alla sua descrizione il link al sito personale, cosa che permette di raccogliere ancora più dati nell’arco di poco tempo. La fase di studio è abbastanza breve, e Phobia si dirige rapido alla pagina dei contatti dove ha la possibilità di leggere l’indirizzo Gmail della sua vittima.

E’ qui il primo grimaldello: il prossimo passo è infatti quello di collegarsi al client di posta di Google, e seguire il percorso dedicato a chi dimentica la password. Phobia attiva la funzione di recupero della parola chiave, e il risultato consiste nella visualizzazione di un indirizzo mail alternativo, a cui Mat aveva deciso di spedire una password temporanea in caso di problemi. La mail non è visibile interamente: solo la prima lettera, poi una serie di asterischi, e infine il nome del dominio che è @me.com. Phobia non ci mette molto a capire che la mail è [email protected] e da qui capisce che la piattaforma che dovrà attaccare è quella della Apple, che distribuisce tutte le caselle che terminano con @me.com.

L’involontario aiuto di Amazon

Phobia sa cosa serve ad Apple per riconoscere un utente: il nome, la mail e due informazioni fondamentali: l’indirizzo e le ultime quattro cifre di una carta di credito. Il primo dato si recupera facilmente, eseguendo una ricerca Whois su internet: consultando il registro pubblico dei proprietari dei vari siti internet,  l’indirizzo di Mat è disponibile in chiaro e le prima informazione è recuperata nell’arco di 2 minuti. Le ultime 4 cifre della carta di credito sono qualcosa di decisamente più complesso, ma in questo caso Phobia pensa bene di rivolgersi ad un insospettabile alleato: Amazon.

Il celebre e-commerce è al servizio dei suoi clienti, giusto? per questo Phobia chiama il centro di assistenza, impersonando Mat e spiegando di voler aggiungere il numero di una carta di credito. Amazon non esegue alcun controllo, così che Phobia non ha bisogno di ripetere un reale numero di carta, e grazie a servizi online che permettono di calcolarne uno piuttosto verosimile, ci sarebbe riuscito comunque. Questa richiesta, corredata dal nome, dalla mail, e dall’indirizzo, non suscita il benché minimo sospetto nell’operatore di Amazon, che acconsente alla richiesta.

Il pirata informatico ora chiude la telefonata, aspetta qualche minuto e poi richiama: questa volta finge di non poter più accedere al proprio profilo, e chiede il supporto del servizio. Con un pò di convinzione e aggiungendo ai dati che conosceva, il numero della carta di credito appena comunicata al  servizio clienti, Amazon non si accorge di essere al telefono con un perfetto sconosciuto e accetta di aggiungere un indirizzo mail al profilo. Il pirata fornisce un indirizzo di sua personale proprietà, riaggancia, raggiunge il sistema di recupero password di Amazon e si spedisce una parola chiave temporanea.

E’ così che il pirata ottiene il completo accesso al profilo Amazon della sua vittima. Navigando fra la cronologia degli acquisti e fra le impostazioni, Phobia trova tutti i numeri di carte di credito che sono state inserite nel corso del tempo: gli asterischi coprono i dati, ma le ultime 4 cifre sono visibili in chiaro… ed ecco trovata l’informazione che mancava.

All’attacco di Apple

Nel giro di 20 minuti, Phobia ha a disposizione tutto il necessario per andare all’attacco di Apple: a questo punto è la casa di Cupertino a ricevere una telefonata e l’interlocutore si dimostra piuttosto informato: fornisce il nome di Mat,  l’indirizzo, la propria mail a dominio @me.com e finalmente le ultime 4 cifre della carta di credito. Apple ha confermato che queste informazioni sono veramente tutto quello che serve per poter  verificare la propria identità al servizio clienti.

E dire che l’operatore fa qualche domanda di sicurezza che era  stata impostata al momento della registrazione da Mat, quello vero, alle quali il pirata non è in grado di rispondere, ma con tutte le informazioni circostanziate che sono già state fornite, gli operatori accettano di fornire una password temporanea per sbloccare la casella @me.com, di fronte all’ennesima finta di aver perso il controllo del proprio profilo.

E’ così che alle 4 e 50 di un venerdì, il pirata informatico ottiene il controllo della mail della sua vittima, registrata sul server della Apple. A questo punto si verifica una valanga di violazioni tanto facili quanto terribili: grazie all’indirizzo mail, Phobia esegue un reset del Apple ID.  Sono le 4.52 quando, raggiungendo il profilo di Gmail e avendo ormai il controllo della mail alternativa alla quale viene spedita la password, anche il client di posta di Google cede all’inganno.

L’attacco è compiuto

Sono le 5 del pomeriggio e il pirata si accorge che la sua vittima ha attivato la funzione Find My Mac, che permette in caso di furto, di rintracciare e di cancellare il contenuto a distanza di ogni dispositivo Apple. E’ così che l’iPhone di Mat viene bloccato, mentre alle 5.02 tocca all’iPad e al Mac Book Air. Capitola anche il profilo Twitter, che viene conquistato con un messaggio di rivendicazione.

Proprio mentre avviene tutto questo, Mat sta giocando con la sua piccola bambina, e non si accorge di nulla, se non del suo iPhone che improvvisamente vibra in tasca: Mat vede che è bloccato e si accinge, senza ancora sospettare di nulla, alla riattivazione del sistema operativo. Per questo collega il suo smartphone all’account iCloud e prova ad eseguire un ripristino, che tuttavia non funziona. Infastidito, ma non ancora spaventato, utilizza il cavetto per connettere lo smartphone con il suo Mac e questa volta un messaggio di iCal lo avvisa che la sua password di Gmail è stata modificata. La cosa si fa veramente strana, e quando sullo schermo del suo notebook compare la richiesta di digitare un PIN di 4 cifre, di cui lui non conosce nemmeno l’esistenza, capisce di aver perso il controllo della sua identità virtuale.

I momenti successivi sono dominati dalla preoccupazione per i dati che sono completamente nelle mani di uno sconosciuto: Mat stacca il modem e il router, pensando così di fermare l’attacco, e alle 5.30 chiama il servizio clienti della Apple. Nella concitazione del momento, il centralinista non comprende esattamente il suo nome, e credendo di stare parlando con il signor Herman inizia a fare domande di sicurezza alle quali Mat non è ovviamente in grado di rispondere.

All’hacker hanno creduto, a Mat no. Vengono chiesti dei dati che il giornalista non conosce minimamente, e l’operatore fatica a riconoscere l’identità di Mat. Passa un’ora e mezza fino che all’interlocutore non sfugge un “Signor Herman”. Mat lo ferma chiedendogli: “Scusi come mi ha chiamato?”, “Herman”, Risposta: “Io sono Honan”. 90 minuti persi per una incomprensione, e solo dietro a specifica richiesta di Mat, che ormai sospetta qualcosa, l‘Apple Care conferma come quella sia già la seconda chiamata del giorno: qualcuno aveva precedentemente contattato il servizio clienti per chiedere un reset della password.

Mat è sconfortato: ha perso le informazioni più care come i dati del suo lavoro, le foto private della sua bambina raccolte in due anni di momenti personali, esperienze e giorni felici. L’unica cosa che riesce a fare è aprire un nuovo profilo Twitter, spiegare la sua esperienza su Tumblr, quando viene improvvisamente contattato dal pirata informatico. Dopo essersi scambiati un following,  i due iniziano uno schietto discorso dove Phobia spiega a Mat come è riuscito ad ottenere il controllo: con un pò di preparazione e di astuzia. Il discorso verte sulle sue foto cancellate e non più recuperabili: il pirata informatico si dichiara dispiaciuto, immaginando che se questa cosa accadesse ai suoi genitori, questi ne sarebbero rattristati, ma non c’è più nulla da fare.

Il senno di poi

Mat è così costretto a ricostruire la sua identità dalla prima volta: ora si è reso conto di quanto, nel corso del tempo, ognuno di noi dissemini informazioni personali e quanto poco siamo preparati a gestire situazioni del genere. Cosa ha imparato Mat? Che innanzitutto una parte della colpa non è sua: una parte del problema è attribuibile alle aziende come Amazon, che hanno ampiamente dimostrato di non controllare le informazioni che vengono fornite.

Già nel 2012 era stata diffusa la notizia che il servizio clienti Amazon non fosse solito controllare il CVV delle carte di credito e questo permetteva di comunicare impunemente anche numeri di carte rubate o clonate, senza nessun problema. Ma anche Apple ha dimostrato impreparazione, nel momento in cui Phobia non ha risposto a domande di sicurezza preimpostate, e se l’è cavata con le ultime 4 cifre della carta di credito. Per equità, l’azienda ha confermato che le politiche di sicurezza verranno riviste.

Ma l’ultimo colpevole è purtroppo la stessa vittima: se Mat, o come lui quasi la totalità degli utenti che non si cura della sicurezza, avesse utilizzato l‘autenticazione a due fattori, che prevede l’invio di una password su qualcosa che l’utente possiede come il cellulare, l’avventura di Phobia si sarebbe fermata all’inizio, perchè Gmail non avrebbe mostrato l’indirizzo alternativo all’hacker, provvedendo invece a spedire un codice alfanumerico direttamente a Mat.

Altro gravissimo errore, quello di utilizzare lo stesso modo di creare mail su tutte le diverse piattaforme: a Mat sarebbe bastato diversificarle anche solo leggermente (un numero casuale fra nome e cognome) per impedire al pirata di capire in meno di un minuto quale poteva essere l’indirizzo registrato sulla piattaforma Apple. Non ultimo quello di non aver eseguito un backup, o di averlo fatto, ma conservato esclusivamente online.

Mat ha provato che la nostra vita virtuale è solo una propaggine di noi stessi. E di questi tempi forse la propaggine più importante. Ogni cosa che facciamo in rete, è legata alla nostra vita, e la stessa facilità con cui internet ci permette di fare le cose, quella stessa semplicità ci consente di subire le cose. E le conseguenze, quando arrivano, sono molto meno virtuali di quello che immaginavamo.