Gli hacker mi hanno rubato la vita

Il reporter e blogger americano Mat Honan, firma di Wired, ha perso tutte le mail, le foto e i documenti: i pirati informatici volevano violare il suo account Twitter, particolarmente pregiato. Né forza né fortuna per recuperare le password: hanno semplicemente chiamato il servizio clienti di Amazon e Apple

di PAOLA ROSA ADRAGNA

Lo leggo dopo

Mat Honan nella foto pubblicata sul suo blog
Photo: Ariel Zambelich/Wired. Illustration: Ross Patton/Wired 

UNA VITA (digitale) completamente cancellata. Spazzata via. Irrecuperabile. Il primo compleanno della figlia, i cari scomparsi da poco e quegli attimi con gli amici del college che con il tempo ha perso di vista. Momenti della vita di Mat Honan, firma di Wired, cancellati dalle memorie fisiche di computer e telefono da una coppia di hacker ventenni che volevano divertirsi con il suo account Twitter.

Un pizzico di astuzia e i numeri di telefono del servizio clienti Amazon e Apple. Questo è servito ai due ragazzi per impadronirsi della vita digitale di Mat e distruggerla. Nel giro di un'ora, come racconta lo stesso Honan sul suo blog ¹, i due sono entrati nel suo account Google e lo hanno rimosso. Hanno poi usato il suo profilo Twitter, postando commenti omofobi e razzisti ("Ed è così che gran parte dei miei amici sono venuti a sapere quel che stava accadendo", racconta). Ma più di ogni altra cosa, hanno violato il suo AppleID e hanno cancellato tutto: foto, mail, documenti - un intero archivio digitale in gran parte conservato sul computer portatile. "Senza un backup", si maledice ora Honan. Non c'è più niente sul suo iPhone, né sull'iPad, tantomeno sul MacBook.

Inizia tutto verso le 17 di venerdì scorso, mentre Mat gioca con la sua bambina. Il telefono si spegne, lui aspetta una telefonata e lo riaccende, inserisce la password di iCloud ma è sbagliata. Va per collegare il telefono al MacBook e scopre che le informazioni del suo account Google sono sbagliate. Serve un codice Pin da quattro cifre, che Mat non ha. L'idea dell'hackeraggio si fa strada nella sua mente e si rivolge al servizio clienti Apple. Una telefonata da 90 minuti che non risolve certo le cose, soprattutto perché per buona parte del tempo l'operatore crede di parlare con un altro cliente. L'equivoco dà a Mat però un'informazione fondamentale: per entrare nell'iCloud di un qualsiasi utente bastano un indirizzo di fatturazione e le ultime 4 cifre di una carta di credito. Due dati facilmente reperibili sul web, come ha scoperto a sue spese. E come gli ha spiegato uno dei due hacker, Phobia, 19 anni, che ha deciso di raccontargli passo dopo passo il percorso seguito, in cambio della promessa di non essere denunciato.

"Non ho indovinato le tue password, né usato la forza". Inizia così il racconto di Phobia, che piano piano, rivela le falle dei sistemi di sicurezza dei due colossi coinvolti nel caso. Ma partiamo dall'inizio. Phobia risale alla mail Google di Mat tramite il suo sito. Va nella pagina di recovery di Google e fa finta di voler recuperare la password smarrita, e scopre l'indirizzo secondario ".Me", associato all'AppleID. Con questa informazione gli basta solo rintracciare l'indirizzo di Mat e le ultime quattro cifre della sua carta di credito per ottenere le credenziali d'accesso di iCloud direttamente dal servizio clienti AppleCare.

Il complice di Phobia recupera l'indirizzo postale tramite il dominio di Mat, ma sarebbe stato possibile anche su un semplicissimo elenco telefonico. Non è altrettanto facile con il codice della carta, ma l'assistenza Apple non è l'unica che si può raggirare facilmente. Una telefonata ad Amazon - anzi due - e il gioco è fatto. Grazie alle informazioni che ha già, con la prima chiede di inserire una nuova carta di credito associata al profilo, mentre con la seconda fa finta di aver perso le credenziali di accesso e ottiene la possibilità di verificare tutte le carte di credito registrate sul proprio profilo. O meglio, solo gli ultimi quattro numeri. I quattro necessari per chiamare AppleCare e ottenere l'accesso ai ricordi di Mat e cancellarli per impedirgli di recuperare il possesso del suo pc o del suo telefono. Non per vendetta o per odio, spiega Phobia a un Mat disperato. Ma per poter usare il suo account Twitter perché a loro piace il suo nome utente: @mat. Un account che Honan si aggiudicò proprio in virtù del suo essere un geek, un maniaco della tecnologia, e in quanto tale tra i primissimi utenti del social network.

La domanda resta perché tutto questo. Mat lo chiede a Phobia, ma la sua risposta non è soddisfacente. Il giovane hacker vuole pubblicizzare i buchi nella sicurezza delle grandi compagnie, così che possano sistemarli. Non è lui che ha materialmente ripulito la sua memoria, bensì il suo complice, ma sembra dispiaciuto. Alla fine, però, Honan ammette di non avercela neanche particolarmente con i due giovani hacker: "Sono un esperto di tecnologia, avrei dovuto saperlo che andava fatto un backup di quello a cui tengo", racconta ora. Così come non gli pare ora una grande idea l'aver utilizzato account di posta "concatenati" e tutti riconducibili all'account Apple, e impostazioni di sicurezza più complesse.

L'intera storia apre un dibattito sull'affidabilità delle password e dei controlli sulla rete, specialmente con il cloud, ora che tutto è connesso. I codici alfanumerici tutelano abbastanza la sicurezza? Alcune informazioni sensibili vengono reperite con troppa facilità? L'unica cosa certa è che Mat non scorderà mai più di fare un backup, sperando che da qualche parte - nella nuvola - gli vengano restituite le foto della sua bimba.

(10 agosto 2012)