Molti di noi hanno usato o usano l’autenticazione a due fattori per sentirsi più sicuri. Ci si può fidare, ma solo se non vi appoggiate agli SMS. Il quotidiano inglese The Telegraph riferisce infatti che decine di milioni di messaggi di testo e codici di sicurezza sono stati esposti online perché il database che li conteneva non era nemmeno protetto da una password.
Molti servizi e piattaforme digitali, fra cui Amazon e Google, propongono l’autenticazione a due fattori per innalzare il livello di sicurezza. In pratica, quando vi collegate da un PC che non avete mai usato (o periodicamente anche dal vostro solito computer o smartphone) non basta inserire nome utente e password. Bisogna digitare anche un codice numerico che viene generato ad hoc sul momento. Ci sono due modi per ottenere il codice: quello meno sicuro è farselo spedire via SMS.
Quello più sicuro (e che molti ormai usano) è di usare un’applicazione apposita per la generazione del codice, come per esempio Google Authenticator, disponibile sia per Android sia per iOS. In entrambi i casi il suddetto codice ha una validità di pochissimi minuti. La differenza è che gli SMS non possono essere cifrati, quindi sono facili da intercettare e da leggere.
Se a questa manifesta insicurezza si aggiunge anche la mancanza di una password a protezione del database in cui gli SMS sono archiviati, il disastro è inevitabile. Nella notizia a cui facciamo riferimento il guaio è stato combinato dall’azienda di comunicazione Voxox. Il database conteneva i messaggi di testo utilizzati da diverse aziende per inviare i codici per la reimpostazione delle password, le notifiche di spedizione e altro. Si parla di 26 milioni di messaggi di testo solo per lo scorso anno, inviati ai propri clienti da colossi come Google e Amazon, e visibili quasi in tempo reale.
Quando si dice che oltre al danno c’è anche la beffa, il ricercatore per la sicurezza Sébastien Kaul non ha scoperto il problema con strumenti “del mestiere” e con gran fatica. Banalmente ha usato un motore di ricerca per dispositivi pubblici come webcam, router e server connessi in rete, chiamato Shodan. Per vedere i dati, a Kaul è bastato aprire l’interfaccia web che non solo gli ha permesso di leggerli, ma anche di fare ricerche per nome, per numero di cellulare o per contenuto dei messaggi di testo.
Il problema ovviamente è stato risolto e ora il database non è più accessibile. Il punto non è questo. È che da una parte chi si occupa della gestione di dati sensibili dovrebbe avere almeno l’accortezza di prendere tutte le misure possibili per tutelarle (a partire dalla password). Dall’altra ci ricorda ancora una volta che gli SMS non sono sicuri: se ne fate ancora uso, trovate alternative che vi tutelino meglio, almeno sulla carta.
Articolo Precedente
Sicurezza informatica, il software reagisce come fa il nostro sistema immunitario
Articolo Successivo
La Xbox 2019 sarà senza lettore ottico? Le indiscrezioni sulla prossima console di Microsoft
