Avrete probabilmente sentito parlare in questi giorni di un “attacco hacker” ai danni degli utenti dell’App Store. Se ci seguite su Twitter avete probabilmente letto i nostri update sulla questione, ma non abbiamo riportato qui su TAL la notizia per il semplice fatto che tutta la faccenda è stata decisamente ingigantita da più parti. Si è arrivati a parlare di “attacchi diffusi” e account compromessi quando in realtà il numero degli utenti coinvolti è sempre stato limitato ed è tutto riconducibile alla frode messa in piedi da un unico sviluppatore.
Ma cos’è successo di preciso? Uno sviluppatore vietnamita che risponde al nome (molto probabilmente fittizio) di Thuat Nguyen ha utilizzato un buon numero di account iTunes di ignari utenti statunitensi, sgraffignati tramite vari metodi (forcing di password semplici o phishing) per spingere nella top 50 della sezione books di iTunes Store U.S.A. una ventina di applicazioni da lui pubblicate.
Si trattava di app maltradotte dal vietnamita e mal codificate, zeppe di contenuti protetti da copyright. Come ha subito scritto MacRumors, per poter spingere un’applicazione in alto nella sezione books di App Store bastano poche centinaia di download per applicazione.
Poche centinaia di account compromessi su 100 milioni di account attivi, rubati per altro con metodi esterni al sistema: questa era la portata del misfatto che ha fatto scrivere a tanti le parole “iTunes Store hackerato”.
Aggiornamento: Apple ha fatto sapere che gli account compromessi erano solo 400.
C’è anche chi ha subito ritenuto opportuno far notare che anche il tanto decantato “walled garden” non è sicuro, come il buon Paolo Attivissimo. La questione è complessa e siamo tutti d’accordo che la chiusura dell’App Store non è il migliore dei mondi possibili (per ora sicuramente rappresenta il più remunerativo per i developer, però). Da fan del cacciatore di bufale mi sarei però aspettato anzi un sistematico smontaggio del sensazionalismo che ha caratterizzato la vicenda, piuttosto che un vero e proprio endorsement senza che vi fossero indicazioni tangibili di una capillare diffusione del problema.
Attacchi di questa portata sono stati registrati a più riprese nel corso degli ultimi anni, tanto che un thread sulla questione è attivo nei forum di MacRumors sin dal gennaio del 2008. L’impressione è che il fantomatico Thuat Nguyen abbia approfittato del ponte festivo del 4 luglio per far fruttare gli account in suo possesso sperando che gli utenti si accorgessero il più tardi possibile dell’anomalia.
Engadget ieri ha ricevuto un commento ufficiale sulla questione da parte di Apple, incredibilmente loquace con Topolsky e co. da quando i rivali di Gizmodo, beh, han fatto quel che hanno fatto con il prototipo dell’iPhone 4.
Nella nota il portavoce di Cupertino non ha confermato direttamente la frode ma ha fatto sapere che Apple ha già provveduto alla rimozione del developer truffaldino e di tutte le sue applicazioni. E per quanto riguarda i soldi rubati? Beh il succo del messaggio è che quello è un problema che gli utenti truffati dovranno affrontare con la loro banca, bloccando la carta e chiedendo il rimborso delle spese non autorizzate.
Allo stato attuale sappiamo dunque che il problema era il picco di un trend che procede da tempo (con account rubati e addirittura rivenduti su TaoBao, l’ebay cinese – leggete questa testimonianza) e che il problema ha riguardato solamente gli utenti dell’iTunes Store statunitense. La domanda dunque è: Apple ha messo in campo tutte le misure possibili per garantire la sicurezza degli utenti? Anche nel caso auspicabile che la risposta sia “sì”, non sarà comunque mai possibile eliminare del tutto il rischio legato al phishing e ad alte pratiche che sfruttano l’anello debole presente in tutti i sistemi informatici: l’utente.
In conclusione: non è mai una cattiva idea controllare che tutto sia a posto nel proprio account e in caso di eventuali stranezze provvedete a cambiare la password e ad avvertire l’assistenza. In generale (ma non vale certo solo per iTunes) è sempre una buona idea impostare una password difficile e magari utilizzare per i pagamenti una carta di debito dedicata (come la Poste Pay) e mai troppo “carica” di denaro.
HGW 07/07/2010 il 05:18
Solo 400 le vittime. Appena comunicato.
http://claytonmorris.squarespace.com/blog/2010/7/6/apple-says-only-a-small-percentage-of-itunes-accounts-were-c.html
klerik 07/07/2010 il 10:29
Scusami, hai scritto un articolo molto lungo che tra le altre cose va controcorrente rispetto a quasi tutti i blog nel mondo eccetto quelli di parte…
Sarebbe utile per onore di cronaca tu citassi le fonti da cui attingi le tue notizie, così come è scritto l’articolo, anche se fosse come dici tu, sembra inventato per portare acqua al mulino che preferisci.
Cmq giusto per dire, centinaia di casi, 400 almeno, non sono casi sporadici come dici tu…è come se dicessi che sono state rapinate 400 banche contemporaneamente, ma non è nulla visto che nel mondo ce ne sono milioni.
Davidoff 07/07/2010 il 12:03
@Camillo: so che è un’inezia ma non si potrebbe usare “attacco cracker” al posto di hacker? Come non tutti sanno gli hacker non sono i pirati informatici…
Camillo Miller 07/07/2010 il 12:05
@ Davidoff:
Sono d’accordo con te, ma lo lascerei perché è il modo in cui in molti hanno parlato della faccenda, non a caso è fra virgolette ;)
rogerdodger 07/07/2010 il 13:38
klerik
semplicemente si dice che cosa così accadono sempre e ovunque e su iTunes è da due anni che isolatamente accadano. In ogni caso Apple corre subito ai ripari e rimborsa fino all’ultimo centesimo. Quindi fare del clamore solo per gettare fango senza sapere di cosa si parla è uno sport praticato da molti ma non da TAL.
rogerdodger 07/07/2010 il 13:40
ad esempio…sai da cosa si capisce che tu cerchi di amplificare la cosa? da quell’almeno. I casi sono 400. Ma tu aggiungi un almeno. Cosa vorresti dire con quell’almeno? se i casi sono 400 non sono 500 o 1000 sei d’accordo? Vedi, è proprio di questo che parlo. Molte persone quando c’è Apple di mezzo vogliono per forza riportare le cose nel modo più negativo possibile per Apple. Questo mi sembra un dato ormai assodato. Anche se internet non se n’è resa ancora pienamente conto.
Menestrello 07/07/2010 il 14:05
rogerdodger dice:
Molte persone quando c’è Apple di mezzo vogliono per forza riportare le cose nel modo più positivo possibile per Apple.
Anche detta cosi’ però non mi sembra molto sbagliata ;)
Mohamed Afez Amhir 07/07/2010 il 14:06
Apple sono dei ladri e non sanno piu’ cosa inventarsi per rubare degli spiccioli ai poveri utenti.
Quelli di Audiola sono piu’ seri !!! (se voi italiani potete ritervi tali)
Ma che mi facciano un piacere!!!!
E chi dice il contrario puo’ essere solo un FANBOY come l’autore di questo articolo che l’imparzialità non sa nemmeno dove abbita.