Aggiornamenti recenti Aprile 18th, 2024 9:08 AM
Ago 16, 2018 Marco Schiaffino Attacchi, Gestione dati, Hacking, In evidenza, News, Privacy, RSS, Scenario 0
Una causa “monstre” da 240 milioni di dollari è stata intentata nei confronti di AT&T, una delle più grandi compagnie telefoniche operanti sul territorio statunitense. A presentarla è un cliente della compagnia, che accusa AT&T di essere responsabile per un furto di 24 milioni di dollari in Bitcoin.
La vicenda, che a prima vista sembra solo una notizia folcloristica, apre però un fronte nel tema della sicurezza che potrebbe avere ripercussioni piuttosto “importanti” sotto il profilo della sicurezza.
Il protagonista della vicenda si chiama Michael Terpin e, come si legge nella querela (pubblicata a questo indirizzo da The Register) fa parte di diverse community attive nel settore delle cripto-valute.
Per proteggere i suoi conti, Terpin utilizza un classico sistema di autenticazione a due fattori tramite invio di codice via SMS. Il sistema, però, non ha funzionato come avrebbe dovuto. Qualcuno, infatti, è riuscito ad aggirarlo utilizzando una tecnica che negli USA sta spopolando.
In gergo si chiama SIM-Swap ed è una truffa piuttosto diffusa, utilizzata dai cyber-criminali per avere accesso ai dati delle loro vittime rubandogli, in pratica, il numero di telefono. Per farlo contattano il gestore telefonico impersonando il titolare del contratto e “convincono” l’operatore di turno a trasferire il numero su una nuova SIM.
Teoricamente per eseguire l’operazione è necessario esibire un documento d’identità valido, ma nel caso di Terpin, si legge nella querela, sarebbe stato necessario un ulteriore controllo di sicurezza, che lo stesso Terpin ha richiesto di attivare dopo un primo tentativo di attacco subito con queste esatte modalità nel giugno del 2017.
Dopo l’episodio, infatti, il suo account sarebbe stato modificato in modo che ogni operazione (compreso il cambio di SIM) avrebbe richiesto non solo l’identificazione tramite un documento, ma anche l’uso di una password.
A quanto pare, però, non è stato sufficiente. Il 7 gennaio 2018 Terpin si è accorto che il suo cellulare non funzionava più e prima che potesse bloccare la SIM (stando a quanto scrive il servizio anti frodi di AT&T non sarebbe stato raggiungibile di domenica) l’ignoto pirata informatico sarebbe riuscito a trasferire dal suo conto la bellezza, appunto, di 24 milioni di dollari.
L’ipotesi del querelante è che il cambio di SIM sia stato fatto con la complicità di un impiegato di AT&T che il cyber-criminale avrebbe corrotto con una classica “mazzetta”. Di qui l’accusa ad AT&T di non aver tutelato in maniera adeguata la sicurezza dell’account e la richiesta di risarcimento che, oltre i Bitcoin rubati, comprende 216 milioni come “punizione” ai danni della compagnia telefonica.
Azzardare quale possa essere l’esito della causa, al momento, è piuttosto difficile. Anche perché è probabile che i legali di AT&T opporranno il fatto che addossare tutta la responsabilità del furto alla gestione della SIM sia eccessivo, visto che in ogni caso il pirata informatico doveva conoscere username e password per accedere al wallet di Terpin.
Il vero problema, però, è un altro: ha davvero senso considerare i codici inviati via SMS come un sistema di autenticazione affidabile? E ancora: è plausibile richiedere a un operatore telefonico di usare nella protezione di un account telefonico un livello di diligenza proporzionale ai potenziali danni collegati alla violazione?
Anche se il caso di Michael Terpin si pone infatti al limite (alzi la mano chi ha 24 milioni di dollari in Bitcoin) un eventuale precedente in questo senso potrebbe avere (e avrà sicuramente) effetti devastanti, aprendo la strada a ogni tipo di pretesa (e anche di truffa) ai danni degli operatori che non riescono a garantire al 100% la sicurezza di un’utenza telefonica.
La conseguenza più probabile, però, è che in futuro gli operatori stessi possano pensare di tutelarsi escludendo qualsiasi responsabilità nel caso in cui l’utenza stessa sia utilizzata come fattore di autenticazione.
Quale che sia il risultato di tutto questo, una cosa è certa: trovare alternative più affidabili sta diventando una questione urgente. Molto, molto urgente.
Mar 18, 2024 0
Gen 26, 2024 0
Mag 03, 2023 0
Mar 08, 2023 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 16, 2024 0
Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Apr 10, 2024 0
Il Patch Tuesday di aprile di Microsoft ha risolto ben 150...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 16, 2024 0
I ricercatori di Volexity hanno scoperto una serie di...