Numero 18 del 2019

Titolo: Tecnologia- Cosa può scoprire un hacker da un numero di telefono?

Autore: Davide Urietti

Articolo:
(da «Corriere.it» del 1o settembre 2019)
Dall'indirizzo di casa ai nomi dei parenti più stretti. Lo rivela un esperimento condotto dal New York Times
Quanta superficialità nel concedere il proprio contatto
Un interessante esperimento del New York Times ha messo in luce gli elevati rischi che si corrono ogni giorno, condividendo con facilità il proprio numero di cellulare. Lo smartphone è ormai un'estensione del nostro corpo, lo si porta dietro in ogni momento: dalla gita fuori porta al posto di lavoro, in alcuni casi anche da una stanza all'altra della propria abitazione. Proprio il suo essere uno strumento così vicino e intimo per una persona, concedere con superficialità i propri contatti non dovrebbe essere una pratica così utilizzata. E invece, spesso si lascia il numero per ogni genere di cose, dai form online per l'utilizzo di specifici servizi o app alle possibilità di ottenere sconti nelle diverse attività commerciali. Non ci si chiede mai quali siano le conseguenze, ma il giornalista del New York Times, Brian X. Chen, ha voluto fare chiarezza sui rischi derivanti dalla condivisione facile. Ha così chiesto aiuto a Flyde, una società che opera nel campo della sicurezza mobile a Palo Alto, in California. Un ricercatore, Emre Tezisci, ha da subito accolto con entusiasmo la proposta di Chen e, una volta ottenuto il suo numero di cellulare, si è messo all'opera per scovare quante più informazioni possibili sul proprietario.
Le informazioni a rischio
Tezisci ha inserito il contatto all'interno di White Pages Premium, un database online che, per il costo di 5 dollari al mese, permette l'accesso a numerosi documenti pubblici. Facendo infine una serie di controlli incrociati, in appena un'ora di lavoro, è riuscito a conoscere in dettaglio molti aspetti della vita di Chen. A partire dal suo indirizzo di casa è stato in grado di scoprire il costo della proprietà e le tasse pagate su quest'ultima, finendo a nome e cognome dei suoi parenti più stretti, tra cui la mamma, il papà, la sorella e la zia. Non solo, Tezisci ha avuto accesso ai precedenti indirizzi e contatti telefonici di Chen e per concludere ha dato un'occhiata anche alla sua fedina penale, in questo caso linda e senza macchia. Una volta ultimata la ricerca, Emre Tezisci si è detto sorpreso per la facilità con cui ha potuto scoprire queste informazioni: «In un'ora sola ho visto tutti gli indirizzi e i contatti telefonici di una persona. Penso sia spaventoso, fossi stato un truffatore avrei potuto proseguire con il resto dei parenti».
Come potrebbe agire l'hacker
A proposito di parenti, una volta conosciuti il nome e il cognome di quelli più stretti, un hacker come potrebbe utilizzare questo genere di informazione? Provando a resettare la password di un qualsiasi account online: se la domanda di sicurezza impostata fosse «Qual è il nome da nubile di tua madre?», il truffatore avrebbe vita semplice. Allo stesso modo riuscirebbe a rispondere facilmente nel caso venisse richiesto un precedente indirizzo della propria abitazione. Un altro esempio? Nel caso in cui l'hacker avesse anche il controllo del contatto telefonico riuscirebbe a gestire eventuali accessi online se fosse impostata l'autenticazione a due fattori, che prevede la ricezione di un codice di sicurezza per messaggio. Avendo il controllo del numero, inoltre, potrebbe truffare i familiari per farsi inviare denaro o password. Restando, invece, nell'ambito legale, lasciare il proprio numero di cellulare con superficialità, infine, espone la persona a campagne pubblicitarie su misura: le agenzie di marketing, infatti, avrebbero ancora più chiaro il profilo da tracciare.
I suggerimenti
Non è completamente da demonizzare questa pratica, perché lasciare il proprio numero di cellulare in certi casi è fondamentale. Si pensi ad esempio alla propria banca: in presenza di pagamenti sospetti è in grado di informare l'utente di quanto accaduto. Non esiste ovviamente un manuale che dica di quali aziende fidarsi, ma starà al buon senso della persona scegliere a chi cedere un'informazione così importante. In quanto tale, Simon Thorpe, di Twilio, una società di comunicazione che lavora con i gestori telefonici nella lotta contro le robo-chiamate, ha definito «il numero di telefono come elemento maggiormente identificativo rispetto al nome». In definitiva non esistono vere e proprie soluzioni, ma ci sono comunque dei piccoli accorgimenti che si possono adottare. Ad esempio, se non si è sicuri dell'affidabilità di una società o di un servizio, potrebbe essere saggio lasciare un recapito telefonico secondario, a cui non siano collegate troppe informazioni personali. Quanto all'autenticazione a due fattori, non è così fondamentale il proprio numero di cellulare: molte aziende offrono un supporto fisico per verificare la propria identità, attraverso le cosiddette chiavette o token; in alternativa le stesse società comunicano il codice di sicurezza tramite app authenticator.