Roma -
Per il momento pare l'abbia
fatta franca lo sconosciuto che, lo scorso mese, è entrato in un minimarket a Derry (Pennsylvania) e ha ripulito per due giorni di fila il bancomat presente nel negozio. Aiutato da una complice, è riuscito a portare a casa un bottino da
1.540 dollari in due sole visite.
A raccontare la vicenda è lo stesso proprietario del negozio, Vince Mastrorocco: "Sono venuti, hanno colpito il primo giorno - un uomo e una donna - e
mi hanno ripulito"
ha detto a
Wired: "Poi sono tornati il giorno dopo e mi hanno ripulito di nuovo". Nonostante sia trascorso quasi un mese dall'accaduto, la polizia sembra brancoli ancora nel buio. Una rapina bella e buona, compiuta però
senza bisogno di minacce o armi: lo sconosciuto signore, in pantaloncini e sandali, si è avvicinato al bancomat e si è limitato a riprogrammarlo per convincerlo ad erogare biglietti da 20 in luogo di quelli da un dollaro.
La macchina vittima del crack è piuttosto "famosa" online: si tratta di un
Triton 9100, il cui manuale di manutenzione è
disponibile online e contiene le password di default per l'amministrazione in chiaro, stampate tra gli altri dati e le istruzioni per l'uso.
Non sarebbe neppure la
prima volta che capita qualcosa del genere, visto che già l'anno scorso qualcosa di simile era accaduto
in Virginia, in una pompa di benzina equipaggiata con un
Tranax 1500 - l'altro apparecchio che si contende la leadership di mercato col
Triton. Anche per questo è in circolazione il manuale di manutenzione, che descrive tutti i passi necessari a porlo in "modalità operatore" e riprogrammarlo secondo le proprie "esigenze".
Il problema, come accaduto nel caso della Pennsylvania, è dettato dal fatto che queste apparecchiature vengano poste negli esercizi commerciali e gestite dai proprietari che non sono esattamente degli
esperti di elettronica e informatica. "Non sono un tecnico - ammette Mastrorocco - io taglio la carne e vendo verdure. È questo il mio lavoro.
Non so niente di Bancomat, mi limito a metterci i soldi dentro e le persone li prelevano". Il
Triton 9100 dispone di due password amministrative: una di primo livello, necessaria per le piccole configurazioni e le operazioni giornaliere, ed una più pericolosa, chiamata
master passcode, necessaria per modificare parametri importanti come appunto l'erogazione delle banconote.
Mastrorocco aveva cambiato la prima una volta, quando aveva ricevuto la macchina tre anni fa: ma la
Cardtronics, l'azienda che si occupa della gestione di questi apparecchi, non aveva
mai fatto menzione della necessità di cambiare anche la parola chiave principale. Neppure quando il commerciante si era rivolto a loro per un problema, la cui soluzione richiedeva quel codice per portare a termine l'operazione: al malfattore è bastato quindi digitare la stringa "123456" per avere
accesso al pannello di configurazione: in pochi secondi ha compiuto il suo hack e si è portato a casa il bottino in banconote di piccolo taglio.
Stavolta però Mastrorocco pare avere imparato. Ora la sua
master passcode è cambiata già due volte dal furto: "Sono paranoico. Forse la cambierò di nuovo stasera". Il bancomat, che
ha compiuto quarant'anni da
pochi giorni, deve
cominciare a pensare ad un suo
successore.
Luca Annunziata