Mitto è un’azienda svizzera che offre un servizio per l’invio automatico di SMS per note big tech (Google, Twitter, WhatsApp e altre), grazie agli accordi sottoscritti con operatori di telecomunicazioni di oltre 100 paesi. Ma secondo il Bureau of Investigative Journalism, la società con sede a Zugo, vende l’accesso alle reti cellulari per aiutare alcuni governi nelle loro attività di sorveglianza.
Spionaggio di massa con il protocollo SS7
Come si può leggere sul sito ufficiale, Mitto sviluppa una piattaforma che permette a diverse aziende di inviare vari tipi di SMS, ad esempio quelli per la verifica dell’account o l’autenticazione in due fattori. In seguito all’indagine effettuata dal Bureau of Investigative Journalism in collaborazione con Bloomberg News, il co-fondatore e Chief Operating Officer Ilja Gorelik ha venduto segretamente l’accesso alle reti telefoniche a società che si occupano di sorveglianza per conto di alcune agenzie governative.
Mitto ha smentito categoricamente di offrire un simile servizio per localizzare le persone tramite i loro telefoni cellulari, annunciando l’avvio di un’indagine interna per verificare se ci sono stati accessi non autorizzati alla loro tecnologia. Ex dipendenti dell’azienda svizzera affermano che Gorelik ha installato di nascosto un software in grado di spiare specifici target, tra cui un funzionario del Dipartimento di Stato degli Stati Uniti.
Il sistema di sorveglianza sfrutta le note (e mai risolte) vulnerabilità del protocollo SS7 (Signaling System 7) usato nelle reti telefoniche PSTN mondiali per gestire le chiamate. Una di esse consente di determinare la posizione fisica del dispositivo e di intercettare chiamate e messaggi.
Il servizio “alternativo” di Mitto è stato utilizzato da TRG Research and Development, un’azienda di Cipro che fornisce ai governi una piattaforma per tracciare i telefoni con lo scopo di combattere il crimine. Due ex dipendenti di TRG sostengono che l’azienda ha ricevuto i dati sulla posizione geografica e la cronologia delle chiamate. TRG ha dichiarato di non aver nessun accordo commerciale con Mitto.
In seguito alla pubblicazione della notizia, il garante svizzero della privacy ha avviato un’inchiesta preliminare, annunciando che chiederà informazioni a Mitto e contatterà gli operatori di telefonia mobile.