Cerca nel blog

2022/06/23

Vasche da bagno a rischio attacco informatico

Di tutte le cose che possono essere prese di mira da un attacco informatico, la vasca da bagno con idromassaggio sembrerebbe essere proprio l’ultima, ma è quello che è successo di recente. Un ricercatore californiano di sicurezza informatica, Eaton Zveare, ha trovato il modo di accedere via Internet ai dati personali degli utenti delle vasche “smart” commercializzate da Jacuzzi e da altre marche molto note del settore e prenderne il controllo.

Pochi giorni fa il ricercatore ha raccontato la bizzarra vicenda nel suo sito: ha ordinato per sé una di queste vasche aggiungendo l’opzione, denominata SmartTub, che aggiunge alla vasca un modulo ricetrasmettitore che usa la rete cellulare per mandare informazioni a un’app che permette di comandare a distanza la vasca, accendendo le luci, regolando i getti e la temperatura dell’acqua, e così via. Lo so, può sembrare una funzione extralusso, ma sono oltre 10.000 le persone che hanno scaricato l’app da Google Play e quindi, si presume, la usano.

Durante la configurazione dell’app, il ricercatore ha visto comparire sul suo schermo per un attimo una tabella piena di dati. L’ha catturata usando uno screen recorder per registrare quell’immagine fugace e ha scoperto che si trattava di un pannello di controllo per amministratori, strapieno di dati di utenti di vasche con idromassaggio di varie marche.

 

Da bravo informatico, ha approfondito l’indagine e ha scoperto che il pannello di controllo era accessibile a chiunque senza immettere credenziali e consentiva di vedere e modificare i dettagli dei proprietari delle vasche, con nomi, cognomi e indirizzi di mail, e anche di disabilitare completamente gli account.

In maniera molto responsabile, Eaton Zveare ha contattato il supporto tecnico dell’app di Jacuzzi per avvisare l’azienda del problema. Ha ricevuto risposta e ha fornito tutti i dettagli tecnici, ma poi non ha sentito più nulla per mesi, mentre la falla rimaneva aperta. Ha dovuto tentare vari altri indirizzi di contatto e infine rivolgersi alla società di sicurezza informatica Auth0, che gestisce il sistema di accesso alle vasche da bagno “smart”, prima di ottenere risposta. Un copione che chiunque lavori nella sicurezza informatica ha già vissuto tante volte.

Ma alla fine, dopo sei mesi, la falla è stata chiusa, senza neppure un cenno di riconoscimento o ringraziamento da parte della casa produttrice di vasche, alla quale il ricercatore ha risolto gratuitamente un guaio che avrebbe potuto avere conseguenze legali molto onerose. Anche questo silenzio fa parte del copione.

C’è di più. Secondo le leggi della California, dove ha sede la Jacuzzi, questa fuga di dati dei clienti dovrebbe essere annunciata ai clienti stessi e segnalata alle autorità, ma finora non risulta che ci sia stato alcun annuncio o segnalazione. Se questo è il modo in cui si gestiscono i dati degli utenti e i comandi remoti dei loro elettrodomestici, forse conviene cercare elettrodomestici che non siano così tanto “smart”.

Nessun commento: