di  -  martedì 23 marzo 2010

image courtesy of TiPb.com

Questa settimana voglio presentarvi cosa accade se uno scammer, di qualsiasi livello e foggia, entra in possesso del nostro account iTunes e di come Apple gestisca questo genere di imprevisti.
I requisiti sono:

  • un account iTunes registrato a nostro nome
  • una carta di credito (preferibilmente ricaricabile) sempre a nostro nome
  • un sistema di SMS alert che ne riporta gli acquisti effettuati
  • un sito di phishing, un computer infetto o semplicemente una password stupida dell’account iTunes
  • un utente cinese (o equivalente) che volteggia sul nostro account per carpirne username e password

Funzionamento:

All’indirizzo http://myinfo.apple.com/ è possibile accedere al proprio account e modificare totalmente i dati immessi.

Questo significa che una volta inserita la password corretta è possibile:

  • cambiare ID Apple/login nel sistema (che comunemente coincide con la mail di riferimento)
  • cambiare l’email di riferimento
  • cambiare le generalità (nome, cognome), l’indirizzo e la data di nascita
  • cambiare il numero di telefono
  • cambiare la domanda segreta

Questo significa che uno scammer a conoscenza dei nostri username e password di accesso può “plasmare” a suo piacimento i dati del nostro account, rendendoli praticamente irrintracciabili senza l’aiuto del customer care.

Tutto inizia quando il sistema di SMS alert ci avverte di un acquisto, presso iTunes Euro Luxembourg, di circa 1 euro di applicazioni o canzoni che non abbiamo effettivamente eseguito: ci siamo, è lo scammer che sta verificando se i dati immessi sono ancora validi e se effettivamente l’account è buono.

Superata questa fase, il manigoldo si attiva e porta a termine la seguente procedura:

  • esegue il login nella pagina di modifica dell’account (dal sito http://myinfo.apple.com)
  • modifica login, password e mail di riferimento secondo i propri gusti
  • modifica le generalità del proprietario (nome, cognome, indirizzo) per renderlo non rintracciabile dal customer care e dai sistemi di recupero password
  • mette la lingua in cinese (o equivalente) per complicare ulteriormente le cose, guadagnando tempo prezioso per piazzare le Gift Card rubate
  • torna su iTunes con username e password precedentemente scelti
  • compra quante più Gift Card possibili prima che la carta di credito vada in blocco (o venga bloccata da noi)
  • torna su http://myinfo.apple.com, cancella tutti i dati e abbandona l’account nell’oblio

Questo processo in una manciata di minuti ci può far trovare in questa situazione:

  • un iPhone che, se prova a fare il login nell’account iTunes/App Store, risponde con ideogrammi cinesi d’errore
  • l’impossibilità di recuperare l’account da questo link perché tutti i meccanismi di recupero sono compromessi (generalità e mail)
  • l’impossibilità di accedere al proprio storico ordini
  • la perdita fin quando il customer care non ne viene a capo di tutte le app comprate e installate (nel caso si colleghi l’iPhone al computer per aggiornarlo)
  • l’impossibilità di conoscere con esattezza l’entità del denaro sottratto e il numero di ordini in attesa di essere pagati (perché inviati ad una mail fittizia)

Cronologia Acquisti iTunes

Serve ovviamente un tempestivo blocco della carta di credito (preferibilmente quando si pensa di aver raggiunto l’importo desiderato tramite gli SMS di avviso) e l’abilità nel parlare con il supporto Apple che risponde (rigorosamente via posta elettronica) in un inglese piuttosto stentato e poco chiaro.

Come si conclude la procedura?

  • innanzitutto occorre intrattenersi con un secondo operatore del customer care e spiegargli che il nostro account adesso parla cinese e non ci riconosce più
  • farsi riattivare l’account (ma questa fase ancora non l’ho superata), nella lingua giusta e soprattutto con le generalità corrette
  • tornare ad intrattenersi con il primo operatore del settore “Billing” e scoprire l’entità degli ordini portati a segno dallo scammer (compresi quelli non andati a buon fine)
  • concordare con lui il pagamento tramite Gift Card delle fatture pendenti, denaro che ci verrebbe successivamente rimborsato e messo “a credito” sul nostro account

…Per i più audaci c’è anche la possibilità di guadagnarci, o quantomeno coprire le spese sostenute per farsi ridare una nuova carta di credito.

Si tratta infatti di acquistare delle Gift Card sul “mercato nero”, ovvero quei numeri di serie spediti soltanto per posta elettronica che offrono un controvalore superiore all’importo effettivamente pagato, ma trattandosi di un’azione illegale (e che spesso porta al ban del proprio account iTunes) il gioco difficilmente vale la candela.

Voglio quindi mettere in guardia tutti coloro che, per pigrizia o per negligenza, hanno lo username dell’account iTunes analogo alla propria casella di posta elettronica e una password che (dovendo essere digitata tramite cellulare) è troppo corta e troppo poco sicura.
Il rischio è di ritrovarsi a dover rifare la carta di credito, combattere con il customer care Apple e dover anticipare dei soldi che qualcuno ci ha rubato dall’altra parte del mondo.

…Chiudo con una domanda: è possibile che il più grande negozio di musica al mondo abbia una gestione degli account così poco intelligente? Oppure, oltre all’ID Apple, mi sono perso qualcos’altro?

36 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    il Sasdo
     scrive: 

    dopo aver letto questo articolo ho cambiato immediatamente la password di accesso ad iTunes! :P

  • # 2
    mede
     scrive: 

    “un utente cinese (o equivalente) che…”

    scusate ma mi pare vagamente offensivo e gratuito. Non c’è alcun bisogno, ma se proprio bisogna scriverlo mettiamo “napoletano” invece che “cinese” mi sembra uno stereotipo più appropriato.

  • # 3
    Al
     scrive: 

    Come utente Android (che di fatto impone l’uso dell’account Gmail per fare acquisti) sono terrorizzato.

  • # 4
    Stefano Pepe (Autore del post)
     scrive: 

    Purtroppo non è né offensivo né gratuito, il supporto tecnico mi ha detto espressamente che gli acquisti sono stati eseguiti in Cina. Non a caso ho scritto “un utente cinese” e non “un cinese” qualsiasi.
    E non a caso mi sono ritrovato l’account in cinese.
    Buon proseguimento :)

  • # 5
    Anonymous
     scrive: 

    Questo vale per qualsiasi altro sito. Se hai nome utente e password fai quello che vuoi.
    Qui Apple ha fatto la stessa cosa che fanno pure alcune bance, Poste Italiane, Amazon e quant’altro..

  • # 6
    GianL
     scrive: 

    Basta non memorizzare il numero di carta nell’account iTunes bensì inserirlo a manina ogni volta.

    Se nome sulla carta di credito e nell’account non coincidono può essere che la transazione non vada a buon fine.

    Eppoi esistono password aggiuntive (programma “Verified by Visa”, codice Mastercard) etc. che richiedono l’inserimento di una password per portare a termina la transazione.

    Se il giro si fa grosso, si può camuffare finchè si vuole il nome ma il numero di IP da cui origina la transazione è difficilmente falsificabile.

  • # 7
    davide
     scrive: 

    quoto GianL in toto. nel mio account itunes ho cancellato la carta di credito.

  • # 8
    maxder
     scrive: 

    “il supporto Apple che risponde in un inglese piuttosto stentato e poco chiaro.”

    Cioè sono andati a risparmiare sul customer care delocalizzandolo in qualche paese asiatico e senza neanche almeno verificare che parlino bene l’inglese?
    Lo fanno in tanti ma con quello che costano i loro prodotti non ci si aspetta risparmi del genere.

  • # 9
    Federico
     scrive: 

    @GianL e davide: A me da fastidio anche dover inserire la password per scaricare applicazioni gratuite sull’iPhone, come fate anche ad inserire la carta!?
    Comunque a questo punto basta una password decente. Mettere carattere come æ, ¥, e ø nella password equivale ad un account inespugnabile da un brute force attack, e tanto basta!

  • # 10
    Nat
     scrive: 

    Mi spiace x l’accaduto, in effetti e’ una cosa davvero frustrante, soprattutto trovarsi con scarsa assistenza.
    Cmq una buona cosa sarebbe generare carte virtuali x singola operazione o con importo limitato.
    Non so se e’ un servizio supportato da tutte le banche, cmq e’ molto comodo, ti consente di generare un numero di carta figlia della tua carta di credito fisica, comprensivo di data di scadenza e cvv2, ma puoi crearla con un importo e una durata stabilito da te, e ha a tutti gli effetti la validita’ del circuito di credito della carta madre.

  • # 11
    dataghoul
     scrive: 

    due indicazioni veloci per prevenire il problema (e non ci vogliono tre lauree o trenta anni di esperienza nel settore delle indagini criminali per arrivarci):
    1. non usare “pippo” come password;
    2. utilizzare una carta ricaricabile e metterci sopra i soldi solo al momento di effettuare gli acquisti (con una carta ricaricabile collegata al vostro conto o con due carte, una su su cui tenere i fondi, da travasare poi sulla seconda da dedicare agli acquisti, la cosa è gestibile in due click).

  • # 12
    Dario
     scrive: 

    @NAT:

    quella che prospetti tu è una soluzione che alcune banche utilizzano (vedi bankpass), ma non funziona sempre: alle volte alcuni esercizi commerciali ti addebitano i prodotti acquistati al momento della spedizione oppure quando arrivano in magazzino.. se nel frattempo il numero di carta di credito virtuale è scaduto salta la transazione :/

  • # 13
    stefano.pepe
     scrive: 

    …purtroppo il problema non sono soltanto le password e le carte di credito: come ho scritto nell’articolo a differenza di moltissimi altri sistemi di autenticazione online (soprattutto quelli che accedono a carte di credito) lo scammer non solo può fare acquisti ma può anche impossessarsi dell’account del malcapitato, cambiando tutti i dati necessari per recuperarlo.

    Avere una carta ricaricabile è una falsa sicurezza perché non mette al riparo da questo furto d’identità. E non inserirne una rende l’acquisto di app tramite cellulare un’operazione troppo farraginosa e complicata…

  • # 14
    the_m
     scrive: 

    Non ho mai usato un account Apple, mi sembra però che la maggiore “stupidità” del sistema sia nel fatto che permette di cambiare lo username del login.
    Se almeno questo rimanesse fisso, si potrebbe identificare subito l’account con il customer care.

  • # 15
    Cael
     scrive: 

    Sorvolando sul fatto che solo uno sprovveduto fornisce i dati della propria carta di credito in modo definitivo, c’è da dire che AppStore ha una bucabilità impressionante.

  • # 16
    Stefano Pepe (Autore del post)
     scrive: 

    @cael Dipende cosa intendi per “definitivo”… App Store si basa sul principio che, con la semplice password, autorizzi l’acquisto di un’app (da pochi euro) tramite cellulare.
    Se non funzionasse così saremmo ancora con i file sisx per Symbian! ;)

    Hai mai usato Paypal? Hai mai giocato a World of Warcraft? Hai mai comprato su Steam? In tutti i casi la carta di credito è al sicuro (non viene mostrata in chiaro), ma in nessuno di questi è possibile fare il “take over” dell’account come avviene su iTunes Store.

    La cosa strana è che la notizia non gira: cosa accadrebbe se lo stesso problema si presentasse su un account di World of Warcraft, ovvero scam della password=perdita definitiva dell’account?

  • # 17
    floc
     scrive: 

    scusate ma io non vedo il problema. una password e’ una password, se qualcuno la INDOVINA significa che nel 2010 nessuno sa ancora mettere password sicure e si merita tutte le conseguenze del caso.

    E’ per colpa di chi non sa mettere password buone che la banca mi obbliga a girare con il loro fastidiosissimo token
    10 caratteri alfanumerici e un simbolo, vediamo chi vi ruba l’
    account, qualsiasi account

  • # 18
    Cael
     scrive: 

    @Stefano Pepe

    Per definitivo intendo memorizzare la password, cosa che per giunta ci sottopone a una serie di problemi contrattuali con il fornitore del servizio carta di credito per problemi di responsabilità oggettiva. Non a caso nei contratti che firmiamo per la carta di credito c’è espressamente scritto di non fornire mai a nessuno il numero della propria carta (gli acquisti via web avvengono sempre attraverso un portale bancario, come accade con i POS nei negozi fisici), quindi non c’è neanche la possibilità di rivalersi sul gestore (non è questione di carta clonata, ma di aver deliberatamente fornito il proprio numero di carta ad un terzo soggetto). Mi chiedo oltretutto quando diventerà obbligatorio per tutti gli acquisti elettronici l’uso di sistemi quali Verisign By Visa e simili, cosa si farà?

    Per gli altri casi che hai citato…non ho molto tempo da dedicare ai giochi, così come evito come la peste Paypal.

    Per il discorso Symbian…non c’entra una mazza col discorso in questione.

  • # 19
    Stefano Pepe (Autore del post)
     scrive: 

    @floc a parte lo “scammer indovino”, puoi avere la password che vuoi ma basta una falla qualsiasi nella filiera per farti finire allo stesso livello di chi ha messo 1234: un malintenzionato entra nell’account e fa quello che vuole. Il senso è: i guai capitano a tutti, che sistemi ci sono per porre rimedio? Che danni può fare un malintenzionato? Nel caso di Apple (il più grande negozio di musica e app al mondo) può fare più danni di altri siti.

    @cael purtroppo tutto quello che citi è poco pratico e poco adatto ad un mercato di microacquisti come quello di iTunes, App Store e decine di altre realtà più o meno simili. Tra cui la stessa paypal. Se ogni acquisto online richiedesse l’autenticazione a Fort Knox ho forti dubbi che l’ecommerce (e moltissime iniziative oggi diffusissime) oggi esisterebbero.

    Ma fortunatamente mi hai contestato con un “non c’entra una mazza”, così mi risparmio il tempo di argomentare :)

  • # 20
    Cael
     scrive: 

    Allora inutile lamentarsi.

  • # 21
    Alessio Di Domizio
     scrive: 

    @ floc
    Le password da 10 caratteri alfanumerici e un simbolo non sono comodissime da inserire da cellulare…

  • # 22
    programmatore
     scrive: 

    ma usare carte ricaricabili in sostituzione delle carte di credito? e evitare di inserire dati sensibili o super mega sensibili ovunque ?

    mi spiace per te ma non dare colpa ad apple di tue negligenze

  • # 23
    Cael
     scrive: 

    @Programmatore

    E a chi dare la colpa se AppStore fa pena in quanto a sicurezza?

  • # 24
    programmatore
     scrive: 

    do la colpa a mestesso che non navigo in internet da ieri e non sono cose nuove queste…

  • # 25
    Stefano Pepe (Autore del post)
     scrive: 

    @programmatore
    Quindi, a differenza degli altri, trovi che sia normale poter cambiare tutti i dati di un account, compresa la mail, lo username, il numero di telefono e tutti i dati necessari al recupero dello stesso?

    In genere il furto di password offre al massimo la possibilità di rubare qualche spiccio, nel caso di Apple si viene esposti a rischi di furto d’identità, perché i dati esposti in chiaro sono leggibili e soprattutto modificabili.
    E’ un problema di qualità: la qualità a cui ci abitua Apple con i suoi prodotti e servizi non è rispecchiata dalla qualità nella gestione dell’identità dei suoi clienti.

    Che poi io sia stato un allocco a farmi fregare la password non c’e’ dubbio, anche se ancora sto cercando di capire come ci siano riusciti (probabilmente ho usato la stessa combinazione email+password da altre parti).

  • # 26
    D
     scrive: 

    “Lo fanno in tanti ma con quello che costano i loro prodotti non ci si aspetta risparmi del genere.”

    Io è un po’ che tengo d’occhio la roba di apple e ti assicuro che di cose che fanno storcere il naso sotto l’aspetto da te indicato, letteralmente trabocca. Purtroppo per uno o due che si indignano, denunciano e sputtanano il sistema, ce ne sono migliaia forse milioni che comprano felici senza contare quelli che trovano perfino da lodare certi comportamenti (salvo passare dall’altra parte della barricata quando si tratta di commentare i stessi difetti degli altri produttori).
    Evidentemente tanta gente necessita di provare direttamente sulla propria pelle le conseguenze di certi cali di qualità ma dal momento che non solo sono ignoranti ma pure fortunati, il giochetto continua tranquillamente.

  • # 27
    findus
     scrive: 

    Sinceramente io non mi sono mai fidato ad affidare i dati della mia carta di credito ad altri enti che non fossero la mia banca. Ho sempre temuto che per problemi di sicurezza i miei dati potessero finire nelle mani di altri ed essendo a conoscenza di tutti i ‘casini’ necessari per bloccare carte ed averne di nuove (viste che mi sono state rubate fisicamente) preferisco rinunciare a qualche automatismo a fronte di una maggiore sicurezza. E’ comunque chiaro che certi episodi possono capitare in altri modi ma per quanto possibile cerco di evitare certe procedure.

  • # 28
    Nat
     scrive: 

    @Dario

    Si senza dubbio usare una carta virtuale richiede una maggior pianificazione, chiaro che se acquisti in un negozio online merce “fisica” e’ preferibile non fare carte x singola operazione ma di durata.

    In ogni caso io su internet uso sempre quelle, x gli abbonamenti di aion, e in passato wow, x itunes, x steam e simili. La genero della durata di un paio di mesi, con l’importo che mi serve e sto relativamente tranquillo, so quello che mi possono rubare e soprattutto so di non avere casini con la vera carta di credito.

  • # 29
    xorosho
     scrive: 

    Interessante l’argomento e la discussione.
    Leggevo anche della scarsa sicurezza in MobileME.

    Io personalmente ho una password relativamente debole (anche se di 8 caratteri) associata ad un indirizzo e.mail che uso solo in pratica solo per iTunes…oltre ad aver associato l’account a una Postepay.
    Terrò conto della sfortunata esperienza per cercare di migliorare ulteriormente la mia situazione in fatto di sicurezza…ma l’idea di NON associare la carta di credito all’account è folle…

  • # 30
    Tony73
     scrive: 

    Quoto Nat, anche io uso carte virtuali a scadenza di 1 anno con iTunes, paypal ecc. ecc. mai un problema.

  • # 31
    mark'
     scrive: 

    ma come mai in tutti gli altri siti non posso cambiare la login del mio account, e qui, con tutti gli evidenti problemi che questo comporta in caso di furto, posso farlo tranquillamente? -_-

  • # 32
    Ilruz
     scrive: 

    Diceva mia nonna, che e password sono come le mutande: non devi lasciarle in bella vista, devi cambiarle frequentemente e non devi prestarle a nessuno.

  • # 33
    floc
     scrive: 

    @Alessio di Domizio
    ah beh, se si cerca la comodita’… si rinuncia alla sicurezza. comodo invece portarsi dietro il token?

    @Stefano Pepe: ovvio, ma in questo caso apple non e’ stata bucata… l’obiezione e’ anche pertinente in generale, ma non in questo caso. la colpa e’ di chi non ha messo una password efficace, punto :) lungi da me essere un fanboy apple, anzi… ma in questo caso non ha colpe

  • # 34
    stefano.pepe
     scrive: 

    Ciao Floc,
    premesso che la password non dovrebbe essere bucata (ma nel mio caso è accaduto), il problema nel concreto è che viene bloccato di fatto anche il recupero dell’account. Questo approccio superficiale non ce l’hanno neanche i forum vecchi di 10 anni, è assurdo che sia presente sul più grande negozio online di musica al mondo.

    Oltretutto essendo impossibilitato ad accedere al mio account, ci sono ancora i miei dati della carta di credito memorizzati e ricevo, ancora oggi, tentativi di acquisto non autorizzato sulla mia vecchia carta di credito.
    E se la perdita della password è un problema mio, il recupero tempestivo dell’account è un problema che Apple deve risolvermi. Ed è ridicolo se penso che una qualsiasi altra piattaforma mi avrebbe già permesso il recupero in modo autonomo, inserendo semplicemente le mie generalità.

  • # 35
    floc
     scrive: 

    si’ sul recupero/blocco dell’account hai perfettamente ragione :)

  • # 36
    ae01
     scrive: 

    chi dice che il negligente è colui che si è fatto fregare l’account, è ignorante.
    io ho una psw alfanumerica impossibile perchè non significa NIENTE in nessuna lingua, eppure l’ha beccata.
    qui non è uno che scansiona 10 ore un account e trova la psw, qui è qualcuno che ha perso le chiavi dei server/db, per dio.
    e se cambi le psw(io l’ho fatto 4 volte) non c’è possibilità di salvarsi lo stesso, poichè salcatso come, appena reinserisco i dati della carta sperando che questa volta sono riuscito a riprendermi l’account, TAK arriva il messaggino della banca che mi diche che è stato fatto l’acquisto da 1.98€.

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.