domenica 31 luglio 2016

Come rubare una identità senza nemmeno sapere come ti chiami, o quasi

Il 26 Giugno di quest'anno 2016, Aaron Thompson, un ventitreenne di Pontiac, Michigan si accorge che non può più accedere al suo account Facebook e che la mail e il numero di telefono a questo associati sono stati cambiati.
Verificando la propria posta elettronica, ha scoperto immediatamente il motivo: un estraneo, spacciandosi per lui, ha scritto alla assistenza clienti di FB chiedendo di disattivare l'autenticazione a due fattori (che verifica l'accesso da terminali diversi da quelli già approvati) e il code generator: “Hi. I don’t have anymore access on my mobile phone number. Kindly turn off code generator and login approval from my account. Thanks.” 
La richiesta non proveniva, ovviamente, dalla mail di Aaron Thompson.
FB risponde prontamente, chiedendo la copia di un documento di identità che provi che lo scrivente sia veramente quello che dice di essere; la copia del documento (il passaporto) viene subito spedita e FB sblocca l'account, consentendo all'intruso di prenderne il controllo.
Peccato che il passaporto inviato in immagine riporti solo il nome corretto, mentre tutti gli altri dati nemmeno corrispondono.
In sostanza, FB ha consentito ad un terzo di assumere il controllo di un profilo senza altro elemento che il nome del titolare.
La vicenda è raccontata dallo stesso Thompson su Redditt - e senza quel racconto FB non avrebbe nemmeno corretto il proprio errore, a quanto si scrive. FB si scusa allegando trattarsi di un errore unmano, non avendo rispettato le ordinarie prassi di sicurezza.
Come ebbi più volte a dire, i social network are in it for the money, e così tutti gli interessati malevoli: Thompson ha una serie di pagine commerciali, altamente spendibili, quantomeno per i milioni di like che queste hanno.

Sul tema ricordo il volume di Bruce Schneier, Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World, reperibile in Italia da Amazon


Ricordo, inoltre, un vecchio post, sulla inopportunità di lasciare in giro copie dei propri documenti di identità ... Identificazione della Clientela e Furto di Identità.


Nessun commento:

Posta un commento