Se ci pensate un po’, la storia dell’account Twitter rubato a tal Naoki Hiroschima, uno sviluppatore informatico giapponese (attualmente impiegato in Silicon Valley) che ha raccontato di essere stato al centro di una incresciosa vicenda di furto di identità digitale, è qualcosa di allucinante ma anche così replicabile da aprire un dibattito serio sull’argomento privacy e social network.
Ok, probabilmente nessuno di voi avrà un account Twitter con una sola lettera (nel caso del ‘nostro’, @N), ma resta il fatto che se un’account del genere vale 50 mila dollari, quanto ne può valere uno con due lettere? E uno di un rappresentante politico mondiale? E uno della Nasa?
Siamo a metà tra l’hackeraggio e il furto di proprietà intellettuale? Forse si: questo precedente rischia che d’ora in poi gli account Twitter e Facebook diventino vere e proprie armi di ricatto, anche di natura economica.
Il fatto
L’account @N in questione era quello di Twitter, che Naoki Hiroschima soprattutto per il suo lavoro e per condividere in rete alcune novità del proprio operato. Creato nel 2007, @N era quindi una vera rarità, tanto da fare gola a molti. Tra questi molti, ecco che alcuni sono riusciti a capitare la password dell’account Twitter dell’informatore elettronico giapponese e, senza quindi fare entrare in azione gli hacker, si sono impossessati dall’account.
Una volta fatto, come racconta lo stesso Naoki Hiroschima, sono stati chiesti 50 mila dollari di riscatto; dunque, lo sfortunato cittadino nipponico, “colpevole” di aver creato un account Twitter di una sola lettera e quindi aver fatto crescere di valore il suo anonimo profilo social, ha dovuto sborsare questa enorme cifra per potere continuare tranquillamente a chattare su Twitter.
Il particolare
Ma la cosa più allucinante di questa storia è che un’altra società – PayPal – avrebbe comunicato all’aggresore (fintosi Naoki) le ultime quattro cifre della sua carta di credito mettendo a serio rischio l’integrità della sua identità digitale: è a causa di questa “leggerezza” che Naoki si è visto sottrarre il dominio del proprio blog e della sua posta elettronica.
Una volta capito il reale bersaglio dell’attacco (l’account @N), Naoki ha subito provveduto a cambiare la mail associata al suo profilo Twitter approfittando dei tempi necessari alla migrazione DNS messa in atto dall’aggressore, riuscendo ad impedire all’aggressore di entrare in possesso del suo reale obiettivo. Al termine del suo intervento, Naoki si è scagliato contro GoDaddy e PayPal dichiarando di aver proceduto a chiudere ogni rapporto con le due aziende.
Come proteggersi
I consigli migliori per evitare questo tipo di problema e quindi per proteggere i propri account Twitter, Facebook o di altri social che siano, sono:
– evitare di utilizzare le stesse password per più servizi differenti
– usare password sufficientemente lunghe e complesse
– attivare l’autenticazione a due fattori almeno sui servizi più importanti
– porre massima attenzione alla cosiddetta “domanda segreta”. Evitare di fornire risposte banali, facilmente indovinabili da parte di un aggressore
– non cambiare troppo spesso la password. È meglio sceglierne una “forte” e non cambiarla mai
– associare ad account Twitter e Facebook account di posta che non permettono il reset semplice della password (ad esempio per via telefonica).
