Ecco come un hacker può toglierti tutto (e come fare a impedirlo)

Nel giro di un quarto d’ora, Mat Honan ha perso tutto. O meglio, ha perso ogni singolo frammento della sua vita digitale. Il suo account di Gmail, il suo profilo Twitter, un’intera montagna di file salvati su iCloud, qualsiasi dato avesse archiviato sul suo iPad, sul suo iPhone, sul suo MacBook. Tutto spazzato via da un hacker attraverso poche semplici mosse.

Ecco com’è andata: Mat Honan, giornalista e collaboratore per Wired.com e Gizmodo, sta giocando con sua figlia in un tardo pomeriggio di agosto. A un certo il suo iPhone si spegne improvvisamente. Honan lo rimette in carica, lo accede e vede comparire una schermata di setup. Senza scomporsi, decide di accedere al suo account di iCloud dove ogni notte salva un backup del suo smartphone, ma l’accesso gli viene negato. Lo stesso succede con Gmail, con la differenza che qui il suo account risulta essere stato cancellato. Nel giro di altri dieci minuti scopre che anche il suo iPad e il suo Macbook sono stati ripuliti. Digitalmente parlando, Mat Honan è sul lastrico.

Ma cos’è successo? Mat Honan è stato hackerato, per la precisione, Mat Honan è stato hackerato da un ragazzino di 19 anni che si nasconde sotto lo pseudonimo di Phobia. A rivelarglielo è stato l’hacker stesso. È successo nei giorni seguenti al furto, quando Honan era intento a raccontare l’incredibile storia sul suo Tumblr (e a leccarsi le ferite per la quantità di preziosi documenti persi nel furto). Contattandolo tramite Twitter, Phobia ha spiegato a Honan come lui e un suo amico sono riusciti a mandarlo gambe all’aria. E soprattutto, perché.

Il tutto è avvenuto in maniera imbarazzantemente semplice. L’obbiettivo dei due hacker (almeno, quello dichiarato) era prendere possesso dell’account Twitter di Honan. Come prima cosa sono andati sul suo profilo Twitter, qui hanno trovato il suo sito personale, e sul sito il suo indirizzo Gmail. Attraverso l’indirizzo Gmail di Honan, Phobia è riuscito a risalire all’indirizzo secondario di recovery, un indirizzo .me relativo a un account AppleID. Da qui, la strada è stata  in discesa. Utilizzando uno dei vari progammi di tracking, come Spokeo , Phobia ha ottenuto l’indirizzo di casa di Honan. A questo punto aveva una mail Apple, un nome e un indirizzo di casa, per poter chiamare Apple Care e ottenere tutti i dati che gli servivano, mancavano solo le ultime 4 cifre della carta di credito. Per ottenerle, Phobia ha fatto così: ha chiamato il supporto clienti di Amazon affermando di avere un account Amazon e di voler cambiare il numero di carta di credito associato, per farlo è necessario fornire un nome, una mail e un indirizzo. Inserito il nuovo numero di carta, Phobia ha chiamato di nuovo il supporto clienti affermando di non riuscire ad accedere all’account, Amazon gli chiede un nome, indirizzo di casa e un numero di carta di credito, Phobia associa all’account Amazon un nuovo indirizzo mail. Accedendo all’account Amazon di Honan, l’hacker è stato allora in grado di ottenere il vero numero di carta di credito, che è parzialmente oscurato, con l’eccezione degli ultimi 4 numeri, esattamente quelli che servono per autenticarsi chiamando Apple Care.

Nel giro di un quarto d’ora, Phobia ha cancellato i dati su iCloud, l’account Gmail, ha ripulito per bene ogni dispositivo Apple posseduto da Honan, infine, ha fatto quello che voleva fare fin dall’inizio: utilizzare l’account Twitter di Honan per diffondere messaggi illeciti (l’account è stato presto sospeso, Honan l'ha recuperato qualche giorno dopo). Una bravata, in sostanza, ma di quelle che ti tolgono anni di foto e di ricordi per sempre.

Se vi siete spaventati a leggere questa storia, è normale. Ma abbandonarsi alla paranoia non serve. Quello che serve, è imparare a proteggere meglio la propria sicurezza in Rete che, in tempi di cloud, assume un significato sempre più importante. La regola numero uno la ripetiamo da tempo: non utilizzare mai la stessa password per due servizi. Un’altra regola: usa password difficilmente intuibili o, meglio, affidati a un servizio di gestione password (se ne trovano a bizzeffe in Rete). Condividi meno dati possibile sul tuo indirizzo di casa, sul tuo numero di telefono, su qualunque cosa possa aiutare uno dei tanti Phobia a impossessarsi della tua identità.

Infine, se utilizzi Gmail, assicurati di aver attivato l’opzione 2-step-verification . Honan non l’aveva fatto e, l’ha ammesso, se l’avesse attivato il suo calvario si sarebbe probabilmente spento sul nascere.

Seguimi su Twitter: @FazDeotto