Gli rubano i Bitcoin e lui fa causa al gestore telefonico per 24 milioni. I pirati sono riusciti a “rubargli” il numero di telefono e aggirare il sistema di autenticazione. La vittima: “AT&T non ha fatto i controlli che avrebbe dovuto fare”.
Una causa “monstre” da 240 milioni di dollari è stata intentata nei confronti di AT&T, una delle più grandi compagnie telefoniche operanti sul territorio statunitense. A presentarla è un cliente della compagnia, che accusa AT&T di essere responsabile per un furto di 24 milioni di dollari in Bitcoin.
La vicenda, che a prima vista sembra solo una notizia folcloristica, apre però un fronte nel tema della sicurezza che potrebbe avere ripercussioni piuttosto “importanti” sotto il profilo della sicurezza.
Il protagonista della vicenda si chiama Michael Terpin e, come si legge nella querela (pubblicata a questo indirizzo da The Register) fa parte di diverse community attive nel settore delle cripto-valute.
Per proteggere i suoi conti, Terpin utilizza un classico sistema di autenticazione a due fattori tramite invio di codice via SMS. Il sistema, però, non ha funzionato come avrebbe dovuto. Qualcuno, infatti, è riuscito ad aggirarlo utilizzando una tecnica che negli USA sta spopolando.
I sistemi di autenticazione a due fattori tramite SMS sono diffusissimi, ma il loro livello di sicurezza viene sempre più spesso messo in discussione.
In gergo si chiama SIM-Swap ed è una truffa piuttosto diffusa, utilizzata dai cyber-criminali per avere accesso ai dati delle loro vittime rubandogli, in pratica, il numero di telefono. Per farlo contattano il gestore telefonico impersonando il titolare del contratto e “convincono” l’operatore di turno a trasferire il numero su una nuova SIM.
Teoricamente per eseguire l’operazione è necessario esibire un documento d’identità valido, ma nel caso di Terpin, si legge nella querela, sarebbe stato necessario un ulteriore controllo di sicurezza, che lo stesso Terpin ha richiesto di attivare dopo un primo tentativo di attacco subito con queste esatte modalità nel giugno del 2017.
Dopo l’episodio, infatti, il suo account sarebbe stato modificato in modo che ogni operazione (compreso il cambio di SIM) avrebbe richiesto non solo l’identificazione tramite un documento, ma anche l’uso di una password.
A quanto pare, però, non è stato sufficiente. Il 7 gennaio 2018 Terpin si è accorto che il suo cellulare non funzionava più e prima che potesse bloccare la SIM (stando a quanto scrive il servizio anti frodi di AT&T non sarebbe stato raggiungibile di domenica) l’ignoto pirata informatico sarebbe riuscito a trasferire dal suo conto la bellezza, appunto, di 24 milioni di dollari.
L’ipotesi del querelante è che il cambio di SIM sia stato fatto con la complicità di un impiegato di AT&T che il cyber-criminale avrebbe corrotto con una classica “mazzetta”. Di qui l’accusa ad AT&T di non aver tutelato in maniera adeguata la sicurezza dell’account e la richiesta di risarcimento che, oltre i Bitcoin rubati, comprende 216 milioni come “punizione” ai danni della compagnia telefonica.
Azzardare quale possa essere l’esito della causa, al momento, è piuttosto difficile. Anche perché è probabile che i legali di AT&T opporranno il fatto che addossare tutta la responsabilità del furto alla gestione della SIM sia eccessivo, visto che in ogni caso il pirata informatico doveva conoscere username e password per accedere al wallet di Terpin.
Il vero problema, però, è un altro: ha davvero senso considerare i codici inviati via SMS come un sistema di autenticazione affidabile? E ancora: è plausibile richiedere a un operatore telefonico di usare nella protezione di un account telefonico un livello di diligenza proporzionale ai potenziali danni collegati alla violazione?
Anche se il caso di Michael Terpin si pone infatti al limite (alzi la mano chi ha 24 milioni di dollari in Bitcoin) un eventuale precedente in questo senso potrebbe avere (e avrà sicuramente) effetti devastanti, aprendo la strada a ogni tipo di pretesa (e anche di truffa) ai danni degli operatori che non riescono a garantire al 100% la sicurezza di un’utenza telefonica.
La conseguenza più probabile, però, è che in futuro gli operatori stessi possano pensare di tutelarsi escludendo qualsiasi responsabilità nel caso in cui l’utenza stessa sia utilizzata come fattore di autenticazione.
Quale che sia il risultato di tutto questo, una cosa è certa: trovare alternative più affidabili sta diventando una questione urgente. Molto, molto urgente.
Lascia un commento