Il supporto Apple ha aiutato un hacker a violare iCloud

Nei giorni scorsi -quando chi scrive era cullato dai flutti dell’Egeo e pensava a tutt’altro-, l’autore di Wired Mat Honan ha raccontato di essere stato vittima della violazione del proprio account iCloud, con tanto di cancellazione remota dei propri iPhone, iPad e MacBook Air. Oggi, scopriamo come ciò sia stato possibile e, sorpresa, molta parte di colpa nella vicenda ce l’ha il supporto Apple.

Dopo essersi guadagnato l’accesso all’account iCloud di Honan, il malintenzionato è riuscito a ottenere perfino l’accesso ai messaggi di Gmail:

Alle 4.50 del pomeriggio, qualcuno è entrato nel mio account iCloud, ha reimpostato la password e cancellato il messaggio di conferma del sistema. La mia password era costituita da un codice alfanumerico di 7 caratteri che non uso per nessun altro servizio. […] La mail di backup su Gmail era la stessa dell’indirizzo .mac. Alle 4.52 pm, hanno inviato una mail di recupero password all’account .mac. Due minuti dopo, una nuova mail mi ha notificato che la password dell’account Google era stata modificata.
Alle 5.00 pm, hanno cancellato da remoto il mio iPhone.
Alle 5.01 pm, hanno cancellato da remoto il mio iPad.
Alle 5.05 pm, hanno cancellato da remoto il mio MacBook Air.
Pochi minuti dopo, sono passati all’account Twitter. Poiché, molto tempo fa avevo collegato Twtter a Gizmodo [per ragioni di lavoro, n.d.A.], sono stati capaci di ficcanasare anche su quello.

Assodati i danni, il vero mistero era costituito dalle modalità con cui costoro erano riusciti nell’ardua impresa. Si pensò dapprima a dei volgari tentativi di crack con meccanismi di forza bruta, fino ad arrivare ad ipotizzare keylogger e malware simili. In realtà, una buona fetta di responsabilità ce l’ha il supporto Apple:

Ora so come è stato fatto. Me l’hanno confermato sia l’hacker che Apple. La password non c’entra nulla. Sono riusciti ad entrare grazie al supporto tecnico Apple e alcune profonde conoscenze social che hanno permesso loro di superare le domande di sicurezza.

In pratica, dopo aver convinto il supporto Apple di essere effettivamente Mat Honan, l’hacker è riuscito a far reimpostare la password dell’account del giornalista e ottenerne così il controllo completo. Di lì al remote wipe, il passo è stato breve. Come correttamente suggerisce Adrian Kingsley-Hughes su Forbes, sarà meglio che Cupertino riveda un po’ la sicurezza e soprattutto “rimetta a posto quel che è andato male questa volta”; intanto, però, evitiamo di pubblicare su Facebook informazioni sulla maestra delle elementari, sul cognome da nubile di nostra madre o sul nome del primo cane. Hai visto mai.