skip to main | skip to sidebar
18 commenti

Capo della campagna elettorale di Hillary Clinton si fa fregare account iCloud e Twitter

Ultimo aggiornamento: 2016/10/20 9:40. 

Il 12 ottobre scorso l’account Twitter di John Podesta, capo della campagna presidenziale di Hillary Clinton, ha pubblicato un annuncio clamoroso: “Ho cambiato squadra. Votate Trump 2016. Salve, pol”. “Pol” è un riferimento a una sezione del sito 4chan nella quale si discute, fra l’altro, di violazioni informatiche in campo politico: l’account di Podesta era infatti stato violato e ignoti ne avevano preso il controllo.

Una figuraccia informatica epica per il team Clinton, anche perché non ha richiesto un attacco particolarmente sofisticato. Infatti, pur trovandosi in una posizione di enorme responsabilità, John Podesta non aveva preso neppure le misure minime di sicurezza.

Podesta sapeva di essere nel mirino, non solo perché ha un ruolo politico cruciale ma anche perché aveva già subito una violazione informatica pesante: Wikileaks sta infatti pubblicando man mano le sue mail trafugate. Giornali e telegiornali stanno dando ampio risalto alla cosa, per cui Podesta era al corrente di questa violazione, già di per sé imbarazzante.

Una di queste mail pubblicate indicava che la password del suo account iCloud, associato al suo iPhone, era Runner4567. Già il fatto stesso di inviare una password via mail in chiaro è un errore di sicurezza madornale, ma c’è di peggio: nonostante Podesta fosse chiaramente sotto attacco, a quanto risulta non aveva attivato la verifica in due passaggi (autenticazione a due fattori) sui propri account Twitter e iCloud. E così i dati sensibili custoditi nel suo iPhone (nomi, numeri di telefono, appuntamenti e altro ancora) e nel cloud di Apple sono finiti online, visibili a tutti.

È possibile che l’account Twitter di Podesta sia stato violato con facilità perché usava la stessa password usata per iCloud, come fanno incoscientemente in tanti; in tal caso va ricordato che se ci fosse stata attiva la verifica in due passaggi gli intrusi non avrebbero potuto sfruttare la password ma avrebbero avuto bisogno di accedere fisicamente a uno dei dispositivi di autenticazione di Podesta.

Le voci secondo le quali l’iPhone e l’iPad di Podesta sarebbero stati azzerati grazie ai dati trovati nelle mail di Podesta pubblicate da Wikileaks sono state smentite da Wikileaks stessa, che dice di aver “verificato che le credenziali erano già state cambiate” prima di pubblicare le mail che le contenevano.

La leggerezza con la quale i politici trattano la sicurezza informatica, anche quando c’è letteralmente di mezzo la sicurezza nazionale, non cessa mai di meravigliarmi. Ma è una meraviglia del secondo tipo: quello in cui fai fatica a credere che qualcuno in un ruolo così importante sia così informaticamente ingenuo e incompetente da non assumere un consulente informatico e seguirne le raccomandazioni.


Fonte: Ars Technica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (18)
Il problema è che il 99% della gente non sa cosa sia le sicurezza informatica, e questa percentuale sale tra i "nativi digitali"
Vero che gente che tratta "dati delicati" dovrebbe, come minimo, fare un corso su come si creano le password, e sulla strong authentication in 2 passaggi:
Qualcosa che sai
Qualcosa che hai
Penso ci sia un errore. L'email è stata rilasciata il 12 ottobre, quindi l'account è stato violato il giorno stesso, prima ancora che la notizia si diffondesse. Non mi sembra ingenuità, non ha semplicemente lasciato la password in giro, ma in una email privata. Probabilmente Twitter aveva una opzione di login o di reimpostazione password che si basava su iCloud. Magari aveva anche i messaggi di iPhone sincronizzati su iCloud, e quindi anche la doppia autenticazione è saltata.

Forse l'unico suo errore è non aver cambiato la password ogni 30-60 giorni, ma secondo https://twitter.com/wikileaks/status/786653209825861633 la password era già stata cambiata.
La meraviglia di primo tipo qual è?
Ciao Paolo
perdona se ti disturbo con un commento
ti volevo segnalare la video podcast Joe Rogan Experience #862 - Trevor Valle (Paleontologist) su Youtube.
Dinosauri, debunking scie chimiche e cosette cosi'.
Saluti da Londra
martinobri,

La meraviglia di primo tipo qual è?

Quella quando scopri una cosa nuova (o che non conoscevi) e che ti meraviglia per quanto è bella. Tipo la prima volta che senti cantare Annie Lennox al naturale, senza filtri e riverberi, mentre lava i piatti in casa, e ti rendi conto che canta davvero così bene, senza alcuna fatica, che ti aspetti che gli uccellini si posino silenti sul davanzale a prendere appunti.
Le violazioni sono frutto di una serie di errori:
1- perchè inviare una password via mail? e non una qualunque, quella del tuo mondo Apple!
2- perchè usarla per un altro servizio come Twitter? non è la stessa squadra, non è nemmeno lo steso gioco!
3 - perchè, una volta scoperta, non l'hai almeno cambiata, posto che ti desse così fastidio l'autenticazione a due passaggi via telefono?
4 - Se verrai eletto vicepresidente, metterai runner4567 anche come codice di lancio dei missili nucleari?
come dicevo in un altro post: chi vuol acqua beva.
Se aveva gia' subito una violazione se le sue pwd erano aggiro e tutto il resto e nonostante questo non ha fatto niente beh te la sei cercata...
"e ma cosa ci vuole, io la password l'ho messa, il telefono ce l'ho in tasca" è il ragionamento che uno fa.
Piuttosto, questa cosa della sincronizzazione su Cloud è disattivabile su iOS?

Le password uguali sono una abitudine impossibile da eliminare anche se ne spieghi i motivi, è ridicolo
Poi queste sono le stesse persone che propongono leggi assurde per "controllare meglio" e perseguire i reati su internet.

Loro si comportano come chi si allontana lasciando un'auto accesa e con lo sportello lato guida spalancato e poi, se l'auto "svanisce" pretendono di far indossare a tutta la popolazione i braccialetti col GPS, così nessuno potrà più commettere reati.
Ciao Paolo, non importa che pubblichi questo messaggio: credo ci sia un errore. Credo si dica "È possibile che l’account Twitter di Podesta *sia* stato violato" non "è" come hai scritto tu.
Spero di non aver scritto una stupidaggine, nel caso me ne scuso.
Detto questo.. complimenti come sempre ! :)
Non credo sia accurato supporre che non abbiano un consulente informatico o che pur avendolo non ne seguano le indicazioni. Penso invece sia più corretto supporre che abbiano assunto i consulenti sbagliati, ovverossia molto bravi nel marketing digitale (e di sé stessi) ma poco competenti in campo della sicurezza informatica.

Ai tempi della campagna di Obama 2012 il suo CTO (Chief Technology Officer) era Harper Reed (https://en.wikipedia.org/wiki/Harper_Reed); a parte l'essere decisamente un tizio "cool" ritengo che fosse anche molto esperto; risultano forse casi di data leak o hacking durante quella campagna?
Ciao Paolo,
vorrei segnalarti un piccolo refuso:
"È possibile che l’account Twitter di Podesta è stato violato con facilità".....
Non sarebbe stato meglio dire "è possibile che l'account Twitter di Podesta SIA..."?
Buona giornata.
Gino.
Gas, Unknown,

refusaccio corretto, grazie: ho riscritto l'articolo talmente tante volte che non vedo più nemmeno i tempi verbali :-(
Dai Paolo, raccontaci di quando sei andato a casa di Annie Lennox e avete fatto un duetto mentre lavava i piatti... :P
Max,

leggi bene quello che ho scritto. Non ho detto che ero lì personalmente (era un’intervista alla BBC, durante il Live Aid, se non ricordo male). Se ci fossi stato, comunque, non mi sarei mai permesso di duettare. Adoro la sua voce.
La cosa che mi lascia un po' perplesso è come, al minuto 2:23 (qualche secondo prima di fermarsi per far scendere il passeggeo/autista) l'auto sterza a destra ed entra contromano nella corsia di sinistra. Ok che dopo 7 metri non è più contromano, ma si vede chiaramente come passi sopra lo "STOP" che c'è per le auto che arrivano in marcia inversa. Mah...
... MI sa che ho commentato l'articolo sbagliato...
Secondo me non è un problema esclusivo dei politici, è un problema ampiamente diffuso. L'opinione pubblica, la gente "comune" non sa o non vuole sapere come proteggersi dagli attacchi informatici, un po' per ingenuità, un po' per il peso di dover ammettere che gli strumenti che usa e da cui dipende quotidianamente sono insicuri. Lasciano fare agli altri, agli esperti, tanto "a me non capiterà mai". Ecco, si vede...

Poi chiaro, un politico o un personaggio pubblico dovrebbe stare molto più accorto. Ma alla fine cos'è un politico se non l'uomo comune che ha preso un po' di voti?