Hanno poi usato il suo profilo Twitter, postando commenti omofobi e razzisti (“Ed è così che gran parte dei miei amici sono venuti a sapere quel che stava accadendo”, racconta). Ma più di ogni altra cosa, hanno violato il suo AppleID e hanno cancellato tutto: foto, mail, documenti – un intero archivio digitale in gran parte conservato sul computer portatile. “Senza un backup”, si maledice ora Honan. Non c’è più niente sul suo iPhone, né sull’iPad, tantomeno sul MacBook.
Inizia tutto verso le 17 di venerdì scorso, mentre Mat gioca con la sua bambina. Il telefono si spegne, lui aspetta una telefonata e lo riaccende, inserisce la password di iCloud ma è sbagliata. Va per collegare il telefono al MacBook e scopre che le informazioni del suo account Google sono sbagliate. Serve un codice Pin da quattro cifre, che Mat non ha. L’idea dell’hackeraggio si fa strada nella sua mente e si rivolge al servizio clienti Apple. Una telefonata da 90 minuti che non risolve certo le cose, soprattutto perché per buona parte del tempo l’operatore crede di parlare con un altro cliente. L’equivoco dà a Mat però un’informazione fondamentale: per entrare nell’iCloud di un qualsiasi utente bastano un indirizzo di fatturazione e le ultime 4 cifre di una carta di credito. Due dati facilmente reperibili sul web, come ha scoperto a sue spese. E come gli ha spiegato uno dei due hacker, Phobia, 19 anni, che ha deciso di raccontargli passo dopo passo il percorso seguito, in cambio della promessa di non essere denunciato.
“Non ho indovinato le tue password, né usato la forza”. Inizia così il racconto di Phobia, che piano piano, rivela le falle dei sistemi di sicurezza dei due colossi coinvolti nel caso. Ma partiamo dall’inizio. Phobia risale alla mail Google di Mat tramite il suo sito. Va nella pagina di recovery di Google e fa finta di voler recuperare la password smarrita, e scopre l’indirizzo secondario “.Me”, associato all’AppleID. Con questa informazione gli basta solo rintracciare l’indirizzo di Mat e le ultime quattro cifre della sua carta di credito per ottenere le credenziali d’accesso di iCloud direttamente dal servizio clienti AppleCare.
Il complice di Phobia recupera l’indirizzo postale tramite il dominio di Mat, ma sarebbe stato possibile anche su un semplicissimo elenco telefonico. Non è altrettanto facile con il codice della carta, ma l’assistenza Apple non è l’unica che si può raggirare facilmente. Una telefonata ad Amazon – anzi due – e il gioco è fatto. Grazie alle informazioni che ha già, con la prima chiede di inserire una nuova carta di credito associata al profilo, mentre con la seconda fa finta di aver perso le credenziali di accesso e ottiene la possibilità di verificare tutte le carte di credito registrate sul proprio profilo. O meglio, solo gli ultimi quattro numeri. I quattro necessari per chiamare AppleCare e ottenere l’accesso ai ricordi di Mat e cancellarli per impedirgli di recuperare il possesso del suo pc o del suo telefono. Non per vendetta o per odio, spiega Phobia a un Mat disperato. Ma per poter usare il suo account Twitter perché a loro piace il suo nome utente: @mat. Un account che Honan si aggiudicò proprio in virtù del suo essere un geek, un maniaco della tecnologia, e in quanto tale tra i primissimi utenti del social network.
La domanda resta perché tutto questo. Mat lo chiede a Phobia, ma la sua risposta non è soddisfacente. Il giovane hacker vuole pubblicizzare i buchi nella sicurezza delle grandi compagnie, così che possano sistemarli. Non è lui che ha materialmente ripulito la sua memoria, bensì il suo complice, ma sembra dispiaciuto. Alla fine, però, Honan ammette di non avercela neanche particolarmente con i due giovani hacker: “Sono un esperto di tecnologia, avrei dovuto saperlo che andava fatto un backup di quello a cui tengo”, racconta ora. Così come non gli pare ora una grande idea l’aver utilizzato account di posta “concatenati” e tutti riconducibili all’account Apple, e impostazioni di sicurezza più complesse.
L’intera storia apre un dibattito sull’affidabilità delle password e dei controlli sulla rete, specialmente con il cloud, ora che tutto è connesso. I codici alfanumerici tutelano abbastanza la sicurezza? Alcune informazioni sensibili vengono reperite con troppa facilità? L’unica cosa certa è che Mat non scorderà mai più di fare un backup, sperando che da qualche parte – nella nuvola – gli vengano restituite le foto della sua bimba.
Fonte Repubblica