Nell’estate di due anni fa la piattaforma era stata soggetta a tentativi di phishing. Dimostrando che le app di messaggistica di comune utilizzo presentano crepe nella sicurezza
Quanto accaduto al direttore del The Atlantic, Jeffrey Goldberg, inserito per sbaglio all’interno di una chat governativa in cui venivano esplicitati i dettagli dell’attacco statunitense contro gli Houthi dello Yemen, è probabilmente una delle fughe di notizie più gravi della storia americana. La gravità non sta solo nell’aver aggiunto alla conversazione un soggetto esterno (fortunatamente, un giornalista americano che ha semplicemente fatto il suo dovere, quale informare le autorità competenti e il pubblico pur tutelando la riservatezza di quanto ha letto. Ma cosa sarebbe accaduto se invece di Goldberg fosse stato coinvolto un antagonista dell’America?), quanto piuttosto la condivisione di formazioni così sensibili e riservate su una piattaforma come Signal. Seppur i messaggi rimangono crittografati, è facile per gli hacker aggirare le sue barriere di protezione. Come ricorda Axios in un suo articolo, era già successo nel 2022 e la storia era stata ampiamente raccontata da Vice.
Nel luglio di due anni fa, da Twilo – la società di verifica dei numeri utilizzata da Signal – avevano riscontrato un accesso non autorizzato a informazioni collegabili con circa 1.900 account. Il falso messaggio proveniva dal reparto IT dell’azienda e segnalava ad esempio la necessità di rinnovare la propria password in quanto scaduta o che dovevano accedere al proprio profilo tramite una Url differente da quella solitamente utilizzata. In altre parole, era un’operazione di phishing. Sebbene la cronologia dei messaggi, i contatti e le informazioni del profilo non siano state intaccate, alcune persone sono cadute nel tranello, fornendo ciò che gli veniva chiesto come le credenziali di accesso che, successivamente, sono state utilizzate dagli hacker per intrufolarsi nei sistemi degli aggirati. Nonostante le contromisure adottate da Twilo, i violatori hanno comunque continuato nella loro opera di aggiramento, dimostrando di essere altamente preparati.
“Ci scusiamo sinceramente per quanto accaduto. Sebbene disponiamo di un team di sicurezza ben equipaggiato, che utilizza misure moderne e sofisticate per il rilevamento e la deterrenza delle minacce, ci addolora dover scrivere questa nota”, scrivevano dall’azienda promettendo di non chiudere qui la faccenda. L’indagine è andata avanti per mesi. Nell’ultimo aggiornamento datato 27 ottobre 2022 si faceva un resoconto delle mosse che si erano rese necessarie per contrastare gli attacchi e di quelle che sarebbero state intraprese nel futuro per prevenirne di nuovi. A cui seguivano ulteriori scuse per l’incidente.
La storia, come anticipato, è stata raccontata in prima persona su Vice da Lorenzo Franceschi Bicchierai, al tempo senior staff writer di Vice Motherboard che si occupa di hacking, sicurezza informatica e privacy. Oltre a ricordare l’importanza di attivare il Blocco di registrazione su Signal, la vittima di hackeraggio sottolineava quanto siano vulnerabili queste piattaforme di messaggistica.
La questione è seria per chiunque, ma ancor di più per i dipendenti pubblici in possesso di dossier delicati. Basta osservare a quali obiettivi puntano gli attacchi ibridi lanciati dalla Russia negli ultimi anni: agenzie federali americane, in cui si intromettevano tramite le grandi aziende che gestivano gli account di governo. Figurarsi dunque quanto sia rischioso per esponenti dell’amministrazione in carica chiamati a discutere di un attacco militare contro un nemico condividere certe informazioni su app comuni.
Solitamente, per parlarsi vengono utilizzate delle strutture invalicabili dall’esterno perché tutti i dispositivi elettronici personali o non governativi devono rimanere fuori. Si chiamano Sensitive Compartmented Information Facility (SCIF) e possono essere istituite per un periodo di tempo limitato o fisso, come la Situation Room della Casa Bianca. Durante il primo mandato, Donald Trump ne aveva ad esempio realizzato uno a Mar-a-Lago. Quando si è fuori, per accedere a queste conversazioni bisogna effettuare lunghi passaggi. Nella sua prima esperienza di governo, però, il presidente americano aveva dimostrato di preferire la comodità al resto, mettendo a repentaglio la sicurezza nazionale. Aveva ad esempio suggerito ai suoi di usare il proprio smartphone per comunicare. E c’è da dire che lo hanno preso alla lettera.
