Violata la Two-Step verification di Google

Di - 12 September 2012 - in

Niente panico, nessun sistema di Google è stato violato, i vostri dati sono al sicuro, nessuno è morto e il mondo non finirà. Quello di cui siete appena stati testimoni è un semplice trick di pessimo giornalismo sensazionalista. Di esempi simili se ne trovano a dozzine ogni giorno, in ogni ambito editoriale. Normalmente li ignoriamo, con una smorfia a metà tra lo schifo e la disapprovazione e passiamo oltre. Tuttavia ieri è stato pubblicato da The Verge una news dal titolo: “Come l’hacker Cosmo ha violato la Two-Step verification di Google e rubato dati personali”.

Con un titolo del genere, mi aspettavo chissà quale catastrofe: impiegati di Google che saltavano dalle finestre, decine di aziende che sospendevano i contratti GApps, hater che scrivevano commenti di derisione sui forum,  Larry Page crocifisso in sala mensa. Strano che l’Internet non fosse in subbuglio per una notizia del genere.  Inizio a leggere e non c’è scritto altro che in un’intervista a Wired, un ragazzino hacker ha rivelato come ha bucato la Two-Step verification. Mah, che strana notizia.

Passo quindi a leggere l’intervista di Wired. Racconta di questo ragazzino che, con una lunga sequela di lamerate o social engineering, se vogliamo essere buoni, è riuscito a violare gli account Google di un malcapitato. Arrivato in fondo al lungo articolo, mi rendo conto di come questo fantomatico hacker non abbia violato proprio un bel nulla, come mi aspettavo.

Senza scendere nei dettagli tecnici (se volete farvi del male, potete leggere tutto nell’articolo), fondamentalmente è riuscito ad ottenere l’accesso all’account ingannando il customer care di AT&T, principale azienda di telecomunicazioni americana, considerata trusted praticamente da chiunque con cui poi con alcuni passaggi è riuscito ad avere completo accesso all’account. Nulla di particolarmente originale o complicato, di certo non meritevole di un lunghissimo articolo su The Wired e men che meno sufficiente a fregiarsi del titolo di “Hacker God” attribuito dall’autore al ragazzino.

Inoltre, subito dopo l’evento, Google ha provveduto ad apportare modifiche alle funzionalità di recupero password in modo da rendere impossibile la ripetizione di questo stratagemma.

Contattando Google, Wired si è infatti sentita rispondere:

“Abbiamo fixato un difetto nel sistema di recupero password per Google Apps for Business, presente sotto specifiche condizioni. Se un account di amministrazione era configurato per mandare istruzioni di reset della password ad un indirizzo e-mail secondario e veniva resettato, la Two-Step verification veniva disabilitata.”

dove con “specifiche condizioni” si intende che molte componenti trusted, tra cui la compagnia telefonica, così trusted non erano. Perciò il processo non era automatizzabile, quasi impossibile da ripetere (perché ci vuole anche tanta fortuna e tanta superficialità da parte dell’utente) e ormai non più attuabile.

Tralasciando Wired e tornando al titolo di The Verge: non vi preoccupate, nessuno ha bucato Google e gli hacker russi non stanno usando la vostra carta di credito per acquistare armi per una nuova rivoluzione comunista. L’allarmismo del titolo, riecheggiato da diverse testate web di minore entità, non ha alcun fondamento ma è solo un becero tentativo di attirare lettori distratti e preoccupati per la sicurezza dei propri dati e che difficilmente hanno tempo e voglia di leggersi noiose paginate di testo per scoprire che possono dormire sonni tranquilli.

Fonte: Wired

Via: TheVerge

Leave a Reply

Simone Robutti Articolo scritto da

Laureato in Informatica, specializzato in sviluppo web e comunità virtuali, hardcore gamer, flamer per passione.

Contatta l'autore

Previous post:

Next post: