C’è chi ha parlato di una disastrosa iPhonecalypse , a gettare ulteriore benzina sulle già roventi delusioni legate al numero di prime ordinazioni del nuovo device made in Cupertino , iPhone 4G. Tutta colpa di un aggiornamento maligno, di un pericoloso bug che ha messo pesantemente a rischio la privacy di un gran numero di utenti della telco statunitense AT&T.
E quelli di Gizmodo (sempre loro, ormai, quando si parla di iPhone) sono stati inondati di messaggi di posta elettronica, tutti da parte di utenti a stelle e strisce, tutti decisamente allarmati. “Ho effettuato il login con le mie credenziali, ma ho avuto accesso all’account di una certa Mary. Bel problema” ha spiegato uno dei preoccupati utenti.
In sostanza, i vari utenti di AT&T – desiderosi di effettuare un pre-ordine del nuovo Melafonino – si sono ritrovati a poter leggere tutte le informazioni personali di persone sconosciute, tra cui indirizzi fisici e indirizzi email, contatti e svariati dettagli sulle bollette telefoniche. “Mi ha loggato come un ufficiale di marina di nome Scott”, ha spiegato un altro utente.
E contattata proprio da Gizmodo , AT&T pare aver ammesso l’esistenza di un “bel problema”, allo stesso tempo assicurando che tra le informazioni visibili non ci sono quelle relative a numeri di previdenza sociale o a carte di credito. Una fonte interna alla telco statunitense ha tuttavia fatto trapelare qualcosa di più complesso: lo scambio random di account sarebbe stato causato da un errore nell’aggiornamento software interno ai server di AT&T .
Non è stato certo un bel mese per la sicurezza interna dei sistemi informatici della telco di New York. Alcuni giorni fa , un altro buco – una funzionalità specifica del sito di AT&T – aveva messo a repentaglio la privacy di circa 114mila clienti, tutti possessori di iPad 3G . Informazioni personali come indirizzi email e numeri identificativi delle SIM, potenzialmente volati tra le mani di cracker malintenzionati.
AT&T aveva gettato tutta la colpa sui cybercriminali del gruppo Goatse Security , rei di aver scritto codice per generare automaticamente i numeri necessari a spalancare il servizio “previsto per rendere il login degli utenti iPad più veloce e comodo”. Ma il gruppo Goatse Security aveva poi sottolineato come le sue azioni fossero perfettamente legittime – e per il pubblico interesse – dal momento che i dati erano accessibili senza il bisogno di alcuna intrusione o attacco, semplicemente con una richiesta sistematizzata . I cracker hanno ora puntato il dito contro l’accoppiata AT&T/Apple, rea di mettere continuamente a repentaglio la sicurezza degli utenti.
Secondo Goatse Security , gli ID delle varie SIM card (ICC-ID) – ottenute semplicemente attraverso la richiesta sistematizzata al sito di AT&T – potrebbero liberamente venire sfruttate per determinare l’esatta posizione di ogni possessore di iPad . Questa libertà potrebbe poi essere combinata con una falla scoperta dalla stessa Goatse Security a marzo. Un exploit interno al browser di Apple Safari , non ancora risolto su iPad, che permetterebbe l’intrusione di spam e malware assortiti. Ma le critiche feroci di Andrew Auernheimer, 24enne cittadino dell’Arkansas nonché membro di Goatse Security , sono state di recente stroncate da una perquisizione da parte degli agenti dell’FBI .
Dopo l’irruzione, i federali hanno trovato nella sua abitazione una quantità discreta di sostanze stupefacenti, tra cui cocaina, ecstasy e LSD . Rimane tuttavia oscuro il motivo principale del mandato di perquisizione – quindi dell’arresto – probabilmente ottenuto da AT&T a partire dalla penetrazione illecita da parte di Goatse Security . Come ammesso dagli stessi agenti dell’FBI , non c’era una sola supposizione sull’eventuale possesso di droghe da parte di Andrew Escher Auernheimer.
Mauro Vecchio