Aggiornamenti recenti Dicembre 4th, 2024 9:00 AM
Ago 16, 2018 Marco Schiaffino Attacchi, Gestione dati, Hacking, In evidenza, News, Privacy, RSS, Scenario 0
Una causa “monstre” da 240 milioni di dollari è stata intentata nei confronti di AT&T, una delle più grandi compagnie telefoniche operanti sul territorio statunitense. A presentarla è un cliente della compagnia, che accusa AT&T di essere responsabile per un furto di 24 milioni di dollari in Bitcoin.
La vicenda, che a prima vista sembra solo una notizia folcloristica, apre però un fronte nel tema della sicurezza che potrebbe avere ripercussioni piuttosto “importanti” sotto il profilo della sicurezza.
Il protagonista della vicenda si chiama Michael Terpin e, come si legge nella querela (pubblicata a questo indirizzo da The Register) fa parte di diverse community attive nel settore delle cripto-valute.
Per proteggere i suoi conti, Terpin utilizza un classico sistema di autenticazione a due fattori tramite invio di codice via SMS. Il sistema, però, non ha funzionato come avrebbe dovuto. Qualcuno, infatti, è riuscito ad aggirarlo utilizzando una tecnica che negli USA sta spopolando.
In gergo si chiama SIM-Swap ed è una truffa piuttosto diffusa, utilizzata dai cyber-criminali per avere accesso ai dati delle loro vittime rubandogli, in pratica, il numero di telefono. Per farlo contattano il gestore telefonico impersonando il titolare del contratto e “convincono” l’operatore di turno a trasferire il numero su una nuova SIM.
Teoricamente per eseguire l’operazione è necessario esibire un documento d’identità valido, ma nel caso di Terpin, si legge nella querela, sarebbe stato necessario un ulteriore controllo di sicurezza, che lo stesso Terpin ha richiesto di attivare dopo un primo tentativo di attacco subito con queste esatte modalità nel giugno del 2017.
Dopo l’episodio, infatti, il suo account sarebbe stato modificato in modo che ogni operazione (compreso il cambio di SIM) avrebbe richiesto non solo l’identificazione tramite un documento, ma anche l’uso di una password.
A quanto pare, però, non è stato sufficiente. Il 7 gennaio 2018 Terpin si è accorto che il suo cellulare non funzionava più e prima che potesse bloccare la SIM (stando a quanto scrive il servizio anti frodi di AT&T non sarebbe stato raggiungibile di domenica) l’ignoto pirata informatico sarebbe riuscito a trasferire dal suo conto la bellezza, appunto, di 24 milioni di dollari.
L’ipotesi del querelante è che il cambio di SIM sia stato fatto con la complicità di un impiegato di AT&T che il cyber-criminale avrebbe corrotto con una classica “mazzetta”. Di qui l’accusa ad AT&T di non aver tutelato in maniera adeguata la sicurezza dell’account e la richiesta di risarcimento che, oltre i Bitcoin rubati, comprende 216 milioni come “punizione” ai danni della compagnia telefonica.
Azzardare quale possa essere l’esito della causa, al momento, è piuttosto difficile. Anche perché è probabile che i legali di AT&T opporranno il fatto che addossare tutta la responsabilità del furto alla gestione della SIM sia eccessivo, visto che in ogni caso il pirata informatico doveva conoscere username e password per accedere al wallet di Terpin.
Il vero problema, però, è un altro: ha davvero senso considerare i codici inviati via SMS come un sistema di autenticazione affidabile? E ancora: è plausibile richiedere a un operatore telefonico di usare nella protezione di un account telefonico un livello di diligenza proporzionale ai potenziali danni collegati alla violazione?
Anche se il caso di Michael Terpin si pone infatti al limite (alzi la mano chi ha 24 milioni di dollari in Bitcoin) un eventuale precedente in questo senso potrebbe avere (e avrà sicuramente) effetti devastanti, aprendo la strada a ogni tipo di pretesa (e anche di truffa) ai danni degli operatori che non riescono a garantire al 100% la sicurezza di un’utenza telefonica.
La conseguenza più probabile, però, è che in futuro gli operatori stessi possano pensare di tutelarsi escludendo qualsiasi responsabilità nel caso in cui l’utenza stessa sia utilizzata come fattore di autenticazione.
Quale che sia il risultato di tutto questo, una cosa è certa: trovare alternative più affidabili sta diventando una questione urgente. Molto, molto urgente.
Lug 31, 2024 0
Lug 16, 2024 0
Mar 18, 2024 0
Gen 26, 2024 0
Dic 04, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Dic 02, 2024 0
Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...