Per il momento pare l’abbia fatta franca lo sconosciuto che, lo scorso mese, è entrato in un minimarket a Derry (Pennsylvania) e ha ripulito per due giorni di fila il bancomat presente nel negozio. Aiutato da una complice, è riuscito a portare a casa un bottino da 1.540 dollari in due sole visite.
A raccontare la vicenda è lo stesso proprietario del negozio, Vince Mastrorocco: “Sono venuti, hanno colpito il primo giorno – un uomo e una donna – e mi hanno ripulito ” ha detto a Wired : “Poi sono tornati il giorno dopo e mi hanno ripulito di nuovo”. Nonostante sia trascorso quasi un mese dall’accaduto, la polizia sembra brancoli ancora nel buio. Una rapina bella e buona, compiuta però senza bisogno di minacce o armi: lo sconosciuto signore, in pantaloncini e sandali, si è avvicinato al bancomat e si è limitato a riprogrammarlo per convincerlo ad erogare biglietti da 20 in luogo di quelli da un dollaro.
La macchina vittima del crack è piuttosto “famosa” online: si tratta di un Triton 9100 , il cui manuale di manutenzione è disponibile online e contiene le password di default per l’amministrazione in chiaro, stampate tra gli altri dati e le istruzioni per l’uso. Non sarebbe neppure la prima volta che capita qualcosa del genere, visto che già l’anno scorso qualcosa di simile era accaduto in Virginia , in una pompa di benzina equipaggiata con un Tranax 1500 – l’altro apparecchio che si contende la leadership di mercato col Triton . Anche per questo è in circolazione il manuale di manutenzione, che descrive tutti i passi necessari a porlo in “modalità operatore” e riprogrammarlo secondo le proprie “esigenze”.
Il problema, come accaduto nel caso della Pennsylvania, è dettato dal fatto che queste apparecchiature vengano poste negli esercizi commerciali e gestite dai proprietari che non sono esattamente degli esperti di elettronica e informatica. “Non sono un tecnico – ammette Mastrorocco – io taglio la carne e vendo verdure. È questo il mio lavoro. Non so niente di Bancomat , mi limito a metterci i soldi dentro e le persone li prelevano”. Il Triton 9100 dispone di due password amministrative: una di primo livello, necessaria per le piccole configurazioni e le operazioni giornaliere, ed una più pericolosa, chiamata master passcode , necessaria per modificare parametri importanti come appunto l’erogazione delle banconote.
Mastrorocco aveva cambiato la prima una volta, quando aveva ricevuto la macchina tre anni fa: ma la Cardtronics , l’azienda che si occupa della gestione di questi apparecchi, non aveva mai fatto menzione della necessità di cambiare anche la parola chiave principale. Neppure quando il commerciante si era rivolto a loro per un problema, la cui soluzione richiedeva quel codice per portare a termine l’operazione: al malfattore è bastato quindi digitare la stringa “123456” per avere accesso al pannello di configurazione : in pochi secondi ha compiuto il suo hack e si è portato a casa il bottino in banconote di piccolo taglio.
Stavolta però Mastrorocco pare avere imparato. Ora la sua master passcode è cambiata già due volte dal furto: “Sono paranoico. Forse la cambierò di nuovo stasera”. Il bancomat, che ha compiuto quarant’anni da pochi giorni , deve cominciare a pensare ad un suo successore .
Luca Annunziata