“CIAO, sono Babbo Natale, vuoi essere mia amica?”. Se a confessarlo a una bimba di otto anni è un vecchietto ben truccato, con una bella barba vera o finta e tanti regali da elargire in un luccicante centro commerciale, nulla di male. Per molti piccoli è la frase più bella del mondo. Se arriva di punto in bianco, con una voce metallica e senza corpo, da un aggeggio piazzato per la propria sicurezza, qualche inquietudine in più può in effetti produrla. Questo è accaduto in una casa statunitense, per la precisione nella contea DeSoto, in Mississippi: un hacker avrebbe ‘bucato’ una videocamera di sorveglianza del brand Ring, controllato dal 2018 da Amazon, e avrebbe fatto irruzione vocale nella cameretta di tre bambine con questo raggelante scherzetto. Anzi, con una molestia in piena regola. Non sarebbe la prima volta che quei dispositivi, come quelli di molti altri oggetti connessi, sarebbero stati hackerati per gli usi più diversi: controllare, aggredire, ricattare.
 
La storia è stata raccontata da Ashley LeMay alla Wmc5, emittente locale del Tennessee: la donna ha spiegato di aver installato la videocamera di sicurezza nella stanza delle tre figlie per poterle tenere d’occhio mentre lavora di notte. “Mi sono informata a lungo prima di sceglierla, mi sembrava fosse sicura” ha detto. E invece, ad appena quattro giorni dall’attivazione, la sgradita intrusione dell’hacker-Santa Claus. Lei era in giro per una commissione, il marito in casa con le bambine. Alyssa, una delle sorelle, sentendo dei rumori nella propria stanza è corsa in camera incuriosita: dalla registrazione della videocamera, ottenuta e pubblicata da Wmc5, si vede la bimba girovagare nervosamente per la stanza mentre il dispositivo trasmette una canzone, la versione di Tiny Tim (un musicista folk americano morto nel 1996) di “Tiptoe through the Tulips”, pezzo molto popolare del 1929 e usato anche nel primo capitolo del film horror “Insidious”, uscito nel 2010. L’interpretazione di Tiny Tim è in effetti piuttosto conturbante perfino ascoltata in pieno giorno da un adulto, figuriamoci da una piccola da sola in camera che non comprende l’origine e il senso di quella voce stridula e cantilenante.
 
Durante il brano Alyssa domanda “chi ci sia” e a quel punto una voce fa irruzione nella stanza: “Sono il tuo migliore amico. Sono Babbo Natale”, dice. “Non vuoi essere la mia migliore amica?”. Roba da sceneggiatura di un film horror, in effetti. Secondo l’emittente la voce avrebbe continuato a molestare la bambina per qualche momento, schernendola e spingendola a mettere la stanza sottosopra. “Ho visto il video e non sono neanche riuscita ad arrivare alla fine, quando dopo avermi chiamata mi sono precipitata nella stanza” ha detto la madre al canale tv.
 
Bel pasticcio. Ma cos’è successo di preciso? Secondo Ring, che ha risposto alla Cnn, l’hacker non ha avuto accesso alla camera tramite un data breach o altri tipi di falle generali. Semplicemente, l’account di famiglia non era protetto con una password sufficientemente forte. “La fiducia dei consumatori è importante e ovviamente ci occupiamo della sicurezza dei dispositivi in modo molto serio” ha spiegato l’azienda. “Abbiamo approfondito l’incidente e possiamo confermare che non è in alcun modo collegato a falle di sicurezza della piattaforma”. Spesso capita di usare, e non bisognerebbe farlo mai, password uguali o simili per servizi diversi come posta elettronica e profili di questo genere, facilitando il lavoro di chi magari ha già ottenuto la coppia di estremi di identificazione e non aspetta altro che poterla testare su account appena attivati, come pare sia accaduto nel caso della famiglia del Mississippi. Inoltre, meglio abilitare sempre l’autenticazione a due fattori (passo che in effetti non era stato fatto nel caso in questione), creare utenze condivise invece di scambiarsi user ID e password e, oltre a scegliere un codice forte, cambiarlo periodicamente.
 
Non è tutta via la prima volta che succede e c’è da scommettere che situazioni del genere saranno all’ordine del giorno, con la progressiva ma continua domotizzazione delle abitazioni: solo la scorsa settimana negli Stati Uniti si sarebbero verificati almeno altri tre casi che hanno coinvolto Ring. Uno in Nebraska, sempre con lo stesso copione ma tramite un dispsoitivo collocato in una cucina. Uno ad Atlanta, dove una donna a letto ha sentito una voce maschile provenire dalla videocamera piazzata nella stanza da letto: la voce diceva di poterla vedere e le chiedeva se fosse sveglia. Uno, infine, a Cape Coral, in Florida, dove una coppia è stata molestata sempre tramite una voce dalla camera di sicurezza da una persona con espressioni razziste sulla famiglia mista, spiegando di averli osservati per giorni. In tutti questi casi nessun problema generale ma, a quanto pare, solo password poco sicure.
 
Evidentemente, però, quei prodotti devono essere più vulnerabili di altri: il sito Motherboard ha infatti scovato diversi post su vari forum criminali nei quali alcuni hacker si scambiano consigli su come creare strumenti in grado di penetrare gli account collegati agli stream video, come file config per forzare l’accesso dei profili provandone diverse combinazioni al minuto. Strumenti spesso già pronti all’uso che i criminali si scambiano a pochi dollari l’uno con l’altro.

“La Repubblica si batterà sempre in difesa della libertà di informazione, per i suoi lettori e per tutti coloro che hanno a cuore i principi della democrazia e della convivenza civile”

Carlo Verdelli
ABBONATI A REPUBBLICA



Source link