skip to main | skip to sidebar
44 commenti

Account iTunes bucati

iTunes e App Store, account violati


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Stanno comparendo numerose segnalazioni di account iTunes violati e di soldi prelevati senza autorizzazione da questi account. Per prudenza, è consigliabile cambiare password di iTunes, controllare i propri acquisti su iTunes e rimuovere dal sito Apple, tramite il programma iTunes, i dati della propria carta di credito, se li avete immessi.

Per toglierli occorre fare login al proprio account iTunes usando il programma omonimo, verificare il proprio account, cancellare il numero della carta dalla casella apposita e scegliere Nessuno come metodo di pagamento (la scelta di Nessuno elimina il messaggio di errore che segnala dati incompleti).

Le prime avvisaglie del problema sono comparse nella categoria libri dell'App Store statunitense, che s'è trovata oggi (4 luglio) con una classifica anomala: 40 delle 50 applicazioni più vendute appartenevano allo stesso sviluppatore, Thuat Nguyen. Poi altri sviluppatori hanno avuto un analogo boom di vendite. Infine è emerso che un numero non trascurabile di utenti iTunes di vari paesi stava segnalando che dai propri account iTunes erano stati effettuati acquisti per cifre importanti (anche 600 dollari) a beneficio delle applicazioni di questi sviluppatori. Acquisti statunitensi che riguardavano libri vietnamiti non tradotti, probabilmente piratati e piuttosto costosi: una situazione abbastanza bizzarra.

Presumibilmente gli sviluppatori – tutti vietnamiti come i libri, finora – hanno usato gli account violati per acquistare massicciamente le proprie applicazioni con i soldi altrui e quindi tentare di incassare laute cifre.

TheNextWeb segnala che in iTunes, i link all'assistenza e alla società di Nguyen (registrata in iTunes come "mycompany") portano a un sito vuoto su Home.com e si chiede come mai Apple non abbia dei controlli che segnalino quando uno sviluppatore di applicazioni arriva a saturare di colpo la classifica, e soprattutto si chiede come faccia una società che non ha un sito Web, non ha una descrizione ed ha applicazioni che stanno intasando iTunes a sfuggire (finora) a ogni controllo e a qualunque punizione.

Uno dei presunti vantaggi di un giardino cintato ed esclusivo come quello di iTunes è che l'utente si può fidare delle applicazioni che acquista. Qui sembra che la fiducia rischi di incrinarsi parecchio.

I forum di MacRumors segnalano, tuttavia, account violati già nei mesi scorsi, come se il problema non fosse recente; forse oggi la magagna si è manifestata con un picco, pianificato proprio per un giorno di festa nazionale negli Stati Uniti, quando quindi l'attenzione e la sorveglianza nelle aziende è molto bassa. Alexbrie.com, il primo sito a segnalare l'anomalia, ha scritto di aver ricevuto notizia direttamente da Philip Schiller, Senior Vice President of Worldwide Product Marketing di Apple, che è in corso un'indagine.

Aggiornamento: i libri sospetti sono stati rimossi da iTunes. Secondo questo articolo su MacRumors, il numero di acquisti necessario per prendere il controllo della fascia alta della classifica nella sezione libri di iTunes è piuttosto modesto (50-250 al giorno), per cui il numero di account violati potrebbe essere dello stesso ordine di grandezza. Sempre troppi quando si è fra le vittime della violazione, ma non si potrebbe parlare di violazioni di massa.

Fonti aggiuntive: TUAW, Engadget, Apple Insider.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (44)
Posso permettermi un commento eretico? Non cambiate password su iTunes... abbandonate iTunes e basta ;-)

Saluti,

Mauro.
scusa mauro, uno che ha comprato una cinquantina di applicazioni che fa??
... e come farei senza l'App Store? :) Non ci sono alternative attualmente per l'uso che ne faccio io.

Mi spiace proprio no.

Con iTunes mi trovo molto bene.
Intanto ho cancellato la mia carta dall'account. Non si sa mai.
Segnalo poi "Dilbert Mobile" :)

Molto carino (e gratuito)
Io non mi fiderei MAI e poi MAI a salvare il numero di carta di credito da NESSUNA parte. Tutti i siti sono vulnerabili. Chi avrebbe scommesso che sarebbe successo anche al serissimo iTunes?

Ad ogni modo secondo me si tratta del solito problema di utenti con password deboli. Spero!
Io mi son fatto una postepay prepagata dedicata esclusivamente ad iTunes. Se devo acquistare musica o applicazioni la ricarico il tanto necessario (si può fare dal sito delle poste in un attimo) e faccio l'acquisto.

Mi è sembrata la soluzione col miglior rapporto comodità/sicurezza.
Questo commento è stato eliminato dall'autore.
Michele Fenu
c'è però da dire che con la postepay ogni votla che ricarichi ci lasci l'obolo di 1€. Mentre con le iTunes card non paghi nessun obolo. Spendi 15/25 euro e hai a disposizione 15/25 euro. Io da un po' di tempo faccio così.
Mauro
seguendo il tuo ragionamento uno dovrebbe abbandonare non iTunes ma internet.

Paolo
Uno dei presunti vantaggi di un giardino cintato ed esclusivo come quello di iTunes è che l'utente si può fidare delle applicazioni che acquista. Qui sembra che la fiducia rischi di incrinarsi parecchio.
Che vi sia una sicurezza non assoluta è chiaro, qualsiasi cosa connessa non è MAI sicura al 100% e tu lo sai bene. Che il metodo di acquisto stile recinto sia più sicuro, oltre che a portare applicazioni che sono fatte secondo determinati criteri, è fuori discussione secondo me. Poi può sempre succedere il patatrack e dove ci sono tanti soldi in ballo (non a caso hanno colpito AppStore e non AndroidMarket) può essere succedano queste cose.

Sicuramente non è una bella figura e immagino che i giornali nostrani sguinzaglieranno gli acquaro di turno per zompettare sulla vicenda in maniera incompetente come al solito. Che la questione sia grave è fuori ombra di dubbio ma personalmente non cambio idea sul metodo AppStore e sulla approvazione alla fonte, secondo me una cosa ottima.

Comunque oramai uso solo le iTunes card da un po' di tempo a questa parte (sulla carta postepay ho su 1,12 da settimane). Non credi forse quelle siano la sicurezza massima?
oscar,

Che il metodo di acquisto stile recinto sia più sicuro, oltre che a portare applicazioni che sono fatte secondo determinati criteri, è fuori discussione secondo me.

Appunto. Le opinioni non supportate dai fatti talvolta divergono dalla realtà.
Idem come Michele, anche se appena trovo qualcuno che venda le carte ricaricabili fisiche, passo a quelle e amen.

Per gli utenti iOS il problema non è trascurabile perché senza metodo di pagamento c'è il rischio di non poter aggiornare (si, è una cavolata, ma Apple fa così e finché qualcuno non glie lo fa notare...), considerando il quantitativo di applicazioni che adesso vengono aggiornate per il supporto al Multitasking e al retina Display, la cosa diventa scomoda. Chi può faccia incetta di carte da 20 Euro e usi quelle.

Occhio che c'è anche il problema dei computer autorizzati se ne avete già un numero vicino a 5 potrebbero resettarvi le autorizzazioni per permettere ai loro computer di scaricare app a vostro nome, il reset è possibile una volta ogni 12 mesi per cui potreste trovarvi con qualche computer tagliato fuori (il numero di iPod/iPhone è illimitato)

Comunque developer disonesti ce n'erano già stati e Apple aveva sospeso e ritirato tutte le loro applicazioni, vediamo se stavolta riescono a fare almeno la stessa cosa. Google ha problemi in Cina, Apple in Vietnam (ricordate il blog vietnamita che anticipò il MacBook bianco?), MS chissà in che rapporti sta coi coreani! :-)
Paolo
infatti ho detto che è un mio parere perchè se 99 volte su 100 va bene secondo me è affidabile. Invece per altri una falla anche se ripetuta ma la stessa si verifica e nel 99% dei casi va bene allora per quelle persone tutto il sistema non è affidabile.

Ecco spiegato il secondo me :)
Sheldon Pax
Come dicevo ci son sempre le iTunes card.
Paolo quando dai di questi consigli mi fai un po' dubitare delle tue grandi qualità di mente razionale.

"Stanno comparendo numerose segnalazioni di account iTunes violati e di soldi prelevati senza autorizzazione da questi account. È consigliabile cambiare password di iTunes, controllare i propri acquisti su iTunes e rimuovere dal sito Apple, tramite il programma iTunes, i dati della propria carta di credito, se li avete immessi. Per toglierli occorre fare login al proprio account iTunes, verificare il proprio account, cancellare il numero della carta dalla casella apposita e scegliere Nessuno come metodo di pagamento."

Non mi sembra che aprire suggerendo una soluzione del genere ad un problema che per quanto è dato vedere non è affatto "di massa" sia una risposta ispirata alla razionalità... Ti dico questo perché pare proprio che questa non notizia ti serva per spingere il tuo leit-motiv contro il "giardino recintato", del quale si può discutere a lungo ma in questo caso c'entra come i cavoli a merenda, visto che molto probabilmente gli scammer hanno usato metodi di phishing la cui natura esula dal sistema iTunes...
Non ti servono questi facili sensazionalismi, per favore. Non arrivare a voler titolare "La peggior falla di Apple" come Gizmodo quando ha fatto lo scoop sulle mail rubate... dal sistema di AT&T.

Poi francamente, se ti sta così antipatico il walled garden, che ne dici del sistema di ritenzione utenti di Google che pervade il sistema commenti del tuo blog blogspot? Google che tutto vede e provvede sì e App Store no? ;)
Mi correggo su una cosa. Sbagliato dire "non notizia", perché la news c'è. Da sostituire con "notizia" e basta :D
Cambiato Password, ma non riesco a cancellare i dati della carta.
O meglio: li cancello ma la pagina non accetta i campi vuoti e mi da errore...

Vabbhè, speriamo bene.
Grazie Paolo
Camillo Miller
beh devo dire che in effetti non ci avevo fatto caso ma....cioè si ci avevo fatto caso ma effettivamente, che senso avrebbe pubblicare la foto di quel gatto stretto come in un "recinto" dato che la notizia principale è un'altra?

Camillo non mi sembra avere tutti i torti.

Se la notizia principale è il problema di iTunes a quel punto si potrebbe capire la frasetta finale, ma effettivamente l'immagine dà tutto un altro peso al post..quasi si fosse partiti con l'intenzione voluta di finire sempre lì. Non pensando all'immagine avevo avuto l'impressione che la frase sul recinto fosse stata una considerazione en passant..che dal punto di vista di uno a cui non sta bene quel metodo può anche starci. Ma l'immagine cambia le carte in tavola, a mio parere.
I soldi arrivano agli sviluppatori dopo più di un mese, verranno sicuramente bloccati gli acquisti e restituiti i soldi in automatico.. Poi trattandosi di account rubati basta modificare la password, se si ha qualche sospetto..
Per la cronaca, i libri Vietnamiti al centro della truffa sono già stati completamente rimossi dallo Store.
Nel frattempo gli utenti italiani, per il cui store non c'è stata alcuna segnalazione, possono tranquillamente continuare a rimuovere i propri dati dall'account, se li fa sentire sicuri. L'ironia di fondo è che quella messa in campo qui è la tipica reazione irrazionale del sostenitore medio dell'esistenza delle scie chimiche...
@Alessandro Se mettere se "nessuno" non funziona, mett numeri a caso che mi pare controllino solo in caso di addebito.

@Oscar. Nel mio Comune non ne vende nessuno e se devo usare la CC per acquistarle su Applestore stiamo punto e accapo :-)

Ho fatto un controllo su iTunes è sembrerebbero essere presenti anche in quello italiano dei libri che non hanno siti validi, ma nessuno è stato pompato ai primi posti della classifica (almeno la classifica pare verosimile) quindi o non hanno attaccato noi italiani o forse li hanno scoperti in tempo (Apple può inibire l'acquisto di cerit titoli anche se questi non spariscono dallo store)
Scusatemi il quarto commento, ma visto che ne parla MacRumors (sono stati citati i forum del sito,
in particolare un thread con post abbastanza datati) mi sembrava sensato segnalare che Arnold Kim ha scritto qualcosa a riguardo. Il titolo mi sembra esplicativo:

Reports of 'App Store Hacked' Greatly Exaggerated

http://www.macrumors.com/2010/07/04/reports-of-app-store-hacked-greatly-exaggerated/
...Dimenticavo. Nonostante l'ultima frase, chiunque abbia una password di meno di 8 caratteri e banalotta (nomi o parole che potrebbero stare in un dizionario o... su Wikipedia) la cambi per il suo bene. ;-)
Camillo,

Non mi sembra che aprire suggerendo una soluzione del genere ad un problema che per quanto è dato vedere non è affatto "di massa" sia una risposta ispirata alla razionalità...

Ho usato l'espressione "di massa" solo nell'avviso via Twitter.


pare proprio che questa non notizia ti serva per spingere il tuo leit-motiv contro il "giardino recintato", del quale si può discutere a lungo ma in questo caso c'entra come i cavoli a merenda

Non direi. I dati disponibili finora indicano che Apple ha accettato nel proprio Store uno sviluppatore privo delle più elementari credenziali. Quindi lo steccato che doveva garantire la sicurezza non ha funzionato a dovere.


se ti sta così antipatico il walled garden, che ne dici del sistema di ritenzione utenti di Google che pervade il sistema commenti del tuo blog blogspot?

Ritenzione utenti? Mica sei obbligato ad avere un account di Google per commentare. O peggio ancora ad avere un device di Google.

Ho aggiunto la tua segnalazione di Kim, grazie.
oscar,

che senso avrebbe pubblicare la foto di quel gatto stretto come in un "recinto" dato che la notizia principale è un'altra?

Geniale! Non ci avevo neanche pensato. Ho semplicemente preso la prima immagine non utilizzata dal mio archivio di immagini di gatti e l'ho aggiunta al post.

Non te la prendere, ma hai dato una bella dimostrazione dei processi che alimentano il cospirazionismo, nel quale Il Caso Non Esiste.
"Ho usato l'espressione "di massa" solo nell'avviso via Twitter."

Ok, giusto ma il consiglio in apertura per me rimane un po' affrettato, visto che tutto era comunque limitato agli U.S.A.

Quanto all'account Google era solo un esempio e del resto nessuno è costretto neppure a comprare un iPhone per telefonare o per "avere uno smartphone". Così come non si è costretti con la forza ad accettare volontariamente le condizioni dell'App Store e più in generale del sistema iTunes. E mi riferisco sia ad utenti che a developers ;)

E volendo il walled garden non protegge da uno sviluppatore che pubblica 40 libri schifosissimi che tecnicamente non violano nessun dettame di sicurezza, perché Apple assume che questi sia una persona reale che dichiara il vero nel registrarsi (ci sono leggi che puniscono chi opera altrimenti, non è compito di chi fornisce il servizio indagare sull'identità di uno che è potenzialmente in regola). Come si fa a prevedere prima che quel tizio ha messo in modo metodi fraudolenti che esulano dal sistema e li sfrutterà per comprarsi le sue applicazioni?


Tutto lì ;)


P.s. fa sempre piacere chiacchierare qui, la tua ospitalità e disponibilità si dimostrano immancabilmente ottime ;)
Ultimo commento, giuro! :D

Paolo dice ad Oscar:

"Non te la prendere, ma hai dato una bella dimostrazione dei processi che alimentano il cospirazionismo, nel quale Il Caso Non Esiste."


E in effetti io non avevo dato alcun peso alla foto, ma mi sento di chiederti:

La tua risposta al problema (cambiate le password, le informazioni della carta di credito eccc.) non è un po' come il cappellino di stagnola?

Con quel che era dato sapere, dov'erano le prove che il pericolo fosse reale per noi italiani o per un buon 99% degli altri cento milioni di account iTunes attivi?

'Notte!
Apple assume che questi sia una persona reale che dichiara il vero nel registrarsi

Una persona che si registra su iTunes come "mycompany" e dichiara come sito Home.com? Siamo seri.
Con quel che era dato sapere, dov'erano le prove che il pericolo fosse reale per noi italiani

Questo blog non viene letto solo in Italia, e so che ci sono molti utenti italofoni che hanno un account iTunes USA.

Anche se non fossero coinvolti utenti italiani, il fenomeno è interessante perché non capita spesso che iTunes venga manipolato in questo modo e rivela un problema di sicurezza.


o per un buon 99% degli altri cento milioni di account iTunes attivi?

Nel senso che se il problema riguarda meno di un milione di utenti, non fa notizia?
Paolo,

gli account USA sono fatti in maniera tale per cui non c'è associata alcuna carta di credito. Qualche soldo con iTunes card però si, quello si.

Sulla foto: beh lungi da me dall'avvicinarmi a pensarla come cospirazionisti vari :) ma il mio ragionamento è stato che usualmente non sei solito fare cose a caso o mettere immagini a caso. Tutto qua, ma comunque come hai detto non ci hai nemmeno pensato e quindi immagino ti sarai fatto una risata alla lettura del mio commento :) Notte Paolo ;)
Questo commento è stato eliminato dall'autore.
Sara' ma io mi associo alla filosofia "tutto su internet e' insicuro fino a prova contraria."

Quindi no carte di credito, buona l'idea della carta ricaricabile delle poste o meglio ancora i vouchers come le iTunes cards.

Nessun collegamento con direct debit se possibile, altrimenti ti ciucciano i soldi direttamente dal tuo conto corrente.

Essere un po' diffidenti su internet non fa affatto male e queste sono consigli d'uso validi per qualsiasi store on line che sia iTunes, youBuy, heSells, weTuna (e' voluta! :-D) ecc. ecc.
gli account USA sono fatti in maniera tale per cui non c'è associata alcuna carta di credito.

Sei sicuro? Le volte che ho usato l'iTunes USA lo spazio per la carta di credito c'era.
dal mio archivio di immagini di gatti

Lo voglio! (cit.)
Non so se c'entra con quello che è accaduto, ma venerdì sera mi è successa una cosa strana.
Quando ho "acquistato" una app gratuita, è comparso un pannello che mi chiedeva di confermare i miei dati iTunes/Apple ID, compresa la carta di credito.

Ho pensato fosse strano, ma meccanicamente ho confermato i miei dati. Dopo qualche secondo mi arriva un SMS con addebito di 1.98€.

Ho segnalato la cosa ad Apple e dopo aver letto ieri sera quello che è successo ho cambiato la mia password di accesso e finché Apple non avrà chiarito COSA effettivamente è successo, ho anche rimosso la carta di credito, per prudenza.
Stamattina ho ripetuto la segnalazione attraverso l'apposita pagina web.
Due cose:
- com'è possibile fare un account su iTunes Store senza una carta di credito? Io ci ho rinuncuito proprio perchè, all'atto dell'iscrizione, voleva obbligatoriamente un numero di carta di credito.
- attenzione alle crte prepagate su internet, sono in realtà meno sicure delle carte di credito. Un'indagine fatta (mi sembra da Altroconsumo) metteva in evidenza che, se ti clonano una carta di dredito, basta fare denuncia e i soldi rubati sono rimborsati (le carte sono assicurate), mentre nelle carte prepagate se ti ciucciano i soldi sono persi per sempre...
@pjt
La sicurezza non deriva infatti dalla carta in se ma dalla possibilità di rimediare al danno già fatto.

Diciamo però che se ti ciucciano la prepagata con dentro 30 euro è un conto, se ti mungono 1000 euro dal conto è un altro discorso. Magari dopo settimane di denunce e peripezie riusciresti anche a riaverli ma una settimana della mia vita vale più dei 30 euro sulla ricaricabile ;)
Non capisco proprio la continua invasione di commenti a spada tratta in favore di Apple ogni volta che c'è una notizia negativa (reale) che la riguarda. Qualcuno forse dimentica che si tratta di denaro privato, di qualcuno che lo ruba e di qualcuno che glielo permette a causa della scarsità di controlli. Il primo soggetto si chiama utente, e sinceramente dovrebbe essere il primo a premere e indignarsi con Apple per questo stato di cose. Le notizie in questo post sono ben due, altro che notiziola di nessun conto. Innanzitutto la violazione degli account, che qui qualcuno liquida frutto di semplice phishing senza però aspettare chiarimenti da Apple, rispolverando il vecchio motto "ma tanto sono solo i deficenti che ci cascano". In questo senso il consiglio di Paolo mi pare sensato, almeno finchè non sarà chiaro il metodo con il quale sono stati violati gli account. L'altra notizia, non certo trascurabile, è che PincoPal può creare applicazioni spazzatura da vendere su iTunes con account più falsi di una banconota da 30 euro e Apple non se ne accorge, finchè i danni non sono evidenti.
@BugFixer

Più probabile che avessi un conto in sospeso per qualche App o canzone vecchia. Improbabile che gli scammer riescano ad operare dall'interno di iTunes. Se phishing era (ed è molto probabile) si parla di form su siti esterni.

@Pjt
è semplice, vai su iTunes Store italiano (da scollegato se hai già un account) e cerca di acquistare un applicazione GRATUITA; vedrai che nelle informazioni sulla carta nei radiobox "Pagamento" ti comparirà la dicitura Nessuno. ;)
Archivio dei gatti?Ne vedremo delle belle...e anche dei belli!Micetti intendo
Oscar, questa sugli account USA senza CC è piuttosto ridicola dato che lì la usano per pagarci anche gli snickers al distributore automatico. Posso capire il bisogno di minimizzare, ma io ho comprato l'iPod negli Stati Uniti e la carta di credito l'ho usata eccome sul mio account iTunes finché stavo lì.

Il consiglio di cambiare la password mi sembra inoltre fondatissimo e validissimo.

Quello che mi domando io è come mai hanno il tempo di censurare le apps in cui compare un pene in un'illustrazione guardandosi le immagini pixel per pixel, oppure non fanno passare grooveshark perché gli sta sui maroni, e poi fanno passare queste app 'truffaldine'.
Il terrorismo gratuito sulla sicurezza fa più vittime dell'insicurezza.

Ho due account su iTunes Store. Per prudenza uso buone password invece di seguire regole demenziali come quelle "consigliate". La prima password è ispirata al titolo di un album di Frank Zappa, la seconda è un linguaggio di programmazione. Vediamo chi riesce per primo a comprare Numbers per iPad su App Store con la mia carta di credito oppure a pubblicare almeno una delle password.
Scrivo per la prima volta sul vostro blog. I fatti, il 4 luglio scorso dal mio account iTunes sono partiti la bellezza di più di 20 ordini musicali da me non effettuati per un importo complessivo di € 390,00. Della cosa se ne è accorta la Società che gestisce la mia carta di credito che ha bloccato ulteriori ordini per circa 400 €. Ho chiamato più volte il servizio clienti italiano Apple che mi ha ovviamene rimbalzato al support del sito apple assicurandomi una risposta nel giro di 24 ore. Da allora sono passati più di tre giorni e tre mie diverse segnalazioni di intervento.. chiaramente nessuna risposta alle mie richieste di storno delle ricevute. Ho cambiato password, bloccato la carta denunciato la frode ai carabinieri, ma alla fine il 15 agosto dovrò cacciare 400 € per coprire la carta in attesa che me li rimborsino successivamente. Potreste darmi un consiglio su come comportarmi?
Se il proprietario della carta di credito ricusa un acquisto, la società emettitrice della carta provvede a rimborsarlo. L'unica cosa che puoi fare è sollecitare il rimborso alla società emettitrice. Tutto il resto è inutile.