Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
Una falla nel sistema di recupero account avrebbe permesso di risalire ai numeri di telefono degli utenti, esponendoli a rischi come il SIM-swapping e il phishing mirato
Una vulnerabilità in un sistema di recupero account legacy di Google avrebbe potuto esporre i numeri di telefono degli utenti. Un ricercatore di sicurezza, noto come Brutecat, ha scoperto la falla che bypassava le protezioni anti-bot. Google ha risolto il problema e ha premiato il ricercatore con 5000 dollari. L'episodio solleva dubbi sulla sicurezza dei dati affidati ai grandi colossi tecnologici e sull'affidabilità dell'autenticazione a due fattori basata solo sul numero di telefono.
Google e i numeri di telefono: la falla che ti avrebbe potuto mettere a nudo
Te la racconto semplice: c’è stato un periodo in cui qualcuno, con gli strumenti giusti e un po’ di furbizia, avrebbe potuto scoprire il tuo numero di telefono semplicemente partendo dal tuo account Google.
Sì, hai capito bene.
Una falla non da poco, che esponeva un dato personale che molti di noi usano come chiave d’accesso per un sacco di servizi, inclusa la tanto decantata autenticazione a due fattori. Pensa un attimo alle implicazioni: dal SIM-swapping, quella tecnica odiosa con cui ti rubano il numero, al phishing mirato.
Un bel pasticcio, vero?
Ma andiamo con ordine e vediamo cosa è successo dietro le quinte del gigante di Mountain View.
Come ti hanno quasi “sgamato” il numero di telefono su Google
Allora, come funzionava questo “giochetto”?
In pratica, un ricercatore ha scoperto che un vecchio sistema di recupero account di Google, uno di quelli che magari non usa più nessuno ma che era rimasto lì, dimenticato in qualche angolo del web, aveva una bella porta aperta.
Questo sistema non aveva quelle protezioni moderne che impediscono ai bot di fare tentativi a raffica (il cosiddetto BotGuard basato su JavaScript).
Immagina un ladro che prova tutte le chiavi di un mazzo su una vecchia serratura arrugginita: prima o poi, quella giusta la trova.
Qui, al posto delle chiavi, c’erano i numeri di telefono.
Partendo da un indizio (tipo le ultime due cifre del tuo numero che Google a volte mostra per aiutarti a recuperare l’account), un malintenzionato avrebbe potuto usare uno script per “sparare” tutte le combinazioni possibili delle cifre mancanti a una velocità impressionante.
Parliamo di decine di migliaia di tentativi al secondo.
Per un numero di Singapore, ad esempio, bastavano circa 5 secondi per trovare la combinazione giusta; per uno statunitense, una ventina di minuti.
Non proprio un’eternità, se ci pensi.
E la cosa più preoccupante è che questo sistema bypassava pure i normali limiti al numero di tentativi.
Insomma, una falla che avrebbe potuto dare accesso a un bel po’ di numeri privati.
Ma chi ha scovato questa magagna e come ha reagito il colosso di Mountain View, sempre così attento – o almeno così ci racconta – alla nostra sicurezza?
L’eroe di turno e la “medaglia” da cinquemila dollari
A mettere il dito nella piaga è stato un ricercatore di sicurezza che si fa chiamare “Brutecat“. Non uno qualunque, eh: pare avesse già dato qualche grattacapo a YouTube in passato, scovando altre vulnerabilità. Questo Brutecat, ad aprile, ha fatto la sua bella segnalazione a Google, spiegando per filo e per segno come funzionava l’inghippo.
E Google?
Beh, a maggio ha comunicato di aver tappato il buco. Per ringraziare il nostro eroe, gli ha pure elargito un premio di cinquemila dollari. Cinquemila dollari. Sembra quasi una pacca sulla spalla, se consideri il potenziale danno che una falla del genere avrebbe potuto causare a milioni di utenti. Fa un po’ sorridere pensare che la sicurezza di dati così sensibili, a volte, valga meno di una piccola utilitaria usata.
Ma al di là del “premio”, la vera domanda è:
possiamo davvero dormire sonni tranquilli ora che questa specifica falla è stata chiusa?
Ma allora, siamo davvero al sicuro con questi colossi?
Ogni volta che salta fuori una storia del genere, e non è certo la prima né sarà l’ultima, viene da chiedersi quanto siano davvero blindati i nostri dati nelle mani di queste mega-corporation.
Certo, Google ha risolto il problema, e meno male.
Però, il fatto che un sistema “legacy”, cioè vecchio e magari dimenticato, possa restare lì a fare da potenziale varco per anni, qualche dubbio lo solleva.
Quante altre “vecchie porte” ci sono ancora aperte nei sistemi sterminati di aziende come Google?
Questo episodio ci ricorda, ancora una volta, quanto sia delicato affidare la nostra sicurezza solo a un numero di telefono, soprattutto quando quel numero diventa la chiave per l’autenticazione a due fattori, come sottolineato da Android Authority.
E non possiamo dimenticare che non è un caso isolato: chi si ricorda del casino successo con Google+ nel 2018, quando i dati di milioni di persone vennero esposti a causa di problemi con le API, come dettagliato da StrongDM?
Insomma, la fiducia è una bella cosa, ma quando si parla della nostra privacy digitale, forse un po’ di sano scetticismo non guasta mai.
Tu che ne dici, ci stanno raccontando tutta la verità sulla sicurezza dei nostri dati o c’è sempre qualcosa che bolle in pentola e che scopriremo solo quando sarà troppo tardi?
Certo, la sicurezza online è una priorità, soprattutto per chi come me usa molto il web per lavoro. Bene che Google abbia reagito velocemente, ma questi episodi ci ricordano di non abbassare mai la guardia e di diversificare i metodi di autenticazione.
Arianna Ferri, “diversificare” è bello, ma se la base è insicura, hai solo più punti deboli.
Mah, ‘sti colossi… 5000 dollari di “ricompensa”? Praticamente spiccioli, rispetto al rischio corso da noi utenti. Forse è ora di tornare a metodi più “analogici”.