Di solito mi capita di raccontare attacchi informatici basati su vulnerabilità del software usato dagli utenti o su difetti nella sicurezza tecnica dei social network, ma stavolta ho da raccontare un altro approccio, che serve come chiaro promemoria di una cosa fondamentale: siccome noi utenti per i social network siamo soltanto mucche da mungere, a loro della nostra sicurezza non importa praticamente nulla. Se i nostri post intimi, che abbiamo impostato come privati perché sono appunto privati, finiscono per diventare pubblici per errore, rovinando un’amicizia o un amore o una carriera, il problema è soltanto nostro, non loro. Quindi pensateci bene prima di affidare a un social network qualunque informazione personale, perché per rubarla non ci vuole nemmeno una gran competenza informatica. Basta chiedere educatamente.

Lo sa bene Aaron Thompson, un ventitreenne che vive nel Michigan. Il 26 giugno scorso si è accorto che non poteva più accedere al proprio account Facebook e che l’indirizzo di mail e i numeri di telefono associati all’account erano stati cambiati.

Ha guardato la propria mail e vi ha trovato uno scambio di mail fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account. L’intruso, per evitare la verifica in due passaggi (autenticazione a due fattori), aveva detto all’assistenza clienti che aveva perso l’accesso al proprio numero di telefonino.

La risposta automatica dell’assistenza clienti era stata molto semplice: doveva dimostrare di essere il vero Aaron Thompson mandando una scansione di un documento d’identità.

L’intruso aveva risposto mandando questo (alcuni dati sono oscurati nell’immagine qui sotto, ma non lo erano nell’originale inviato a Facebook):



Nessuno dei dati sul passaporto era esatto, a parte il nome, eppure questo è bastato a Facebook per “verificare” l’identità e disattivare tutte le protezioni sull’account di Thompson, cedendone il controllo all’intruso. Facebook poteva confrontare le informazioni nell’account con quelle nel finto passaporto, ma non ha fatto neanche quello.

La motivazione del furto dell’account era probabilmente economica: Thompson ha una serie di pagine Facebook che hanno vari milioni di “Mi piace”, altamente monetizzabili per esempio per uno spammer. Ma l’intruso si è limitato a inviare alcune foto oscene e qualche insulto.

Per riavere il controllo del proprio account su Facebook, Thompson ha dovuto raccontare pubblicamente la propria disavventura su Reddit. La notizia che basta un documento falso per convincere Facebook a disabilitare la verifica in due passaggi, cambiare la mail associata all’account e cambiare la password si è diffusa rapidamente.

Facebook è intervenuta, come racconta Motherboard, e ha ripristinato la situazione, dicendo che “aver accettato questo documento d’identità è stato un errore che ha violato le nostre prassi interne”. Sì, però nel frattempo è successo. Ricordatevelo. E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.