Mat Honan, un giornalista della testata americana Wired, è stato oggetto di un caso di hacking che ha messo in luce diversi problemi di sicurezza nell’uso dei servizi online e in particolare dell’ID Apple.

Un pomeriggio, all’improvviso, l’iPhone di Honan si resetta. Scoprirà poi che nel frattempo anche la sua casella di posta Gmail è stata eliminata e il suo account su Twitter riempito di sconcezze.

Nel giro di pochi minuti, anche il suo Mac Book Air si resetta, gli chiede un pin di quattro cifre che lui non ha mai impostato e inizia ad eliminare i dati presenti su disco. L’assistenza Apple, chiamata immediatamente, non riesce a far niente per aiutarlo.

Tornato online grazie al computer della moglie e alla connessione del vicino di casa, Honan viene contattato da uno degli hacker che lo hanno attaccato, che gli racconta in dettaglio cosa è successo dietro le sue spalle.

L’obiettivo principale degli hacker era di accedere all’account di Twitter di Honan. Questo era legato all’indirizzo di posta Gmail, a sua volta legato a quello @me.com, corrispondente anche all’ID Apple. Ottenuto accesso a quest’ultimo, è stato facile risalire la catena fino a Twitter.

Contrariamente a quanto verrebbe da pensare, l’accesso non è stato ottenuto forzando la password, ma raggirando il servizio di assistenza fornendo alcuni dati personali.

L’indirizzo è generalmente facile da trovare con delle semplici ricerche online. Le ultime quattro cifre della carta di credito sono invece state ottenute interagendo con il servizio di assistenza di Amazon, ancora una volta a partire da dati reperibili online come il nome, l’indirizzo e l’email.

Per guadagnar tempo, gli hacker hanno fatto terra bruciata lungo la strada buttando offline il legittimo proprietario, non solo eliminando o precludendogli l’accesso ai suoi account, ma rendendo inservibili i suoi dispositivi. Questo è stato possibile sfruttando le funzionalità e le caratteristiche di “Trova il mio…”, tramite cui è possibile resettare da remoto dispositivi legati ad un determinato ID Apple.

Pensato per far fronte ad un caso di furto del dispositivo, il servizio mette in atto un sistema di verifica che non contempla la manomissione da remoto, e permette a chi abbia accesso all’ID Apple di cancellare l’hard disk di un computer tra le mani del proprietario, senza che questo possa far nulla per bloccare il processo.

Essendo Honan un giornalista di una grossa testata, la sua storia ha avuto ampia risonanza e i due giganti coinvolti hanno reagito correndo ai ripari.
Amazon ha eliminato la possibilità di manipolare il proprio account tramite assistenza telefonica, mentre Apple l’ha sospesa temporaneamente per darsi il tempo di valutare eventuali cambiamenti nella procedura.