La scorsa settimana un ricercatore di sicurezza informatica olandese è riuscito ad accedere all’account Twitter di Donald Trump. L’account del presidente americano, con un seguito di circa 87 milioni di follower, aveva una password estremamente debole e facile da indovinare e, secondo il ricercatore, livelli di sicurezza molto blandi.
Secondo quanto riportato dal Giornale olandese de Volkskrant, Victor Gevers, ricercatore di sicurezza informatica ha avuto accesso ai messaggi diretti di Trump ed avrebbe potuto tweettare a suo nome e/o cambiare il suo profilo.
Venerdì mattina, quasi distrattamente, Gevers prova una serie di password e le loro varianti. Al quinto tentativo: BINGO! Scopre la password, “maga2020!” (abbreviazione di make america great again) è la chiave per aprire lo scrigno.
Gevers inserisce “maga2020!” e si ritrova improvvisamente nell’account Twitter del presidente americano.
È sbalordito. “Mi aspettavo di essere bloccato dopo quattro tentativi falliti. O almeno che il sistema mi richiedesse di fornire ulteriori informazioni” dice Gevers. Nulla di tutto ciò.
Il Karma
Lunedì a Tuscon in Arizona, Trump ha affermato “Nessuno viene hackerato. Per essere violato, c’è bisogno di un hacker che abbia un quoziente intellettivo (QI) di 197 e conosca almeno il 15% della tua password” .
Oggi in pochi tentativi e quasi senza impegno gli hanno bucato l’account Twitter.
Ma non è la prima volta
Non è la prima volta che gli hacker olandesi riescono a impossessarsi dell’account Twitter di Donald Trump. Quattro anni fa, poco prima delle elezioni del 2016, tre hacker sono riusciti insieme a recuperare la password di Trump e ad accedere al suo account.
Victor Gevers era uno di quei tre hacker. Che qualcuno ora ci sia riuscito di nuovo, è notevole.
Avvisiamo il Presidente
Il ricercatore olandese ha avvertito Trump e i servizi governativi americani del problema. Ma non è stato facile. Molte mail gli sono tornate indietro.
Poi, dopo alcuni giorni, è stato contattato dai servizi segreti americani nei Paesi Bassi che hanno preso sul serio il rapporto di Gevers. Nel frattempo l’account di Trump è stato reso più sicuro.
Alcuni giorni dopo aver scritto ai servizi di sicurezza americani Gevers vede che era stata attivata la verifica in due passaggi per l’account di Trump. Due giorni dopo, in serata, riceve un’e-mail “amichevole” dai servizi segreti americani. Ringraziano Gevers, dicendogli che non erano a conoscenza della falla di sicurezza.
I dubbi sulla sicurezza
Ma quanto accaduto lascia ancora al ricercatore olandese una serie di domande:
- Come è possibile che qualcuno acceda facilmente a un account così importante?
- Perché Twitter non richiede password più sicure?
- Se posso accedere al suo account, anche altre nazioni straniere possono farlo, giusto?
- Perché le persone che dovrebbero proteggere il presidente non vengono informate quando qualcuno segnala che il suo account non è sicuro?
Ovviamente l’account Twitter del presidente è un bersaglio molto ambito.
Ronald Prins, fondatore della società di sicurezza Hunt & Hackett, uno dei più noti esperti di sicurezza olandesi, afferma: “Conosco Victor Gevers da diversi anni. È un esperto che dedica la sua vita alla ricerca di vulnerabilità e adotta sempre un atteggiamento molto etico nel farlo. Sulla base di quello che so e ho visto, le sue affermazioni sono credibili.
Victor Gevers è il presidente del Dutch Institute for Vulnerability Disclosure, una organizzazione olandese senza scopo di lucro che ha come obiettivo quello di “rendere il mondo digitale più sicuro segnalando le vulnerabilità che troviamo nei sistemi digitali”
Sorprendentemente facile
Matthijs Koot, ricercatore sulla sicurezza di Secura, è anche stupito di quanto sia stato facile per Gevers prendere il controllo dell’account di Trump.
“In parole povere: le persone che nel 2020 ignorano ancora i consigli di base sulla sicurezza online sono un potenziale pericolo per se stesse e per coloro che li circondano”.
Secondo Koot, questi rischi colpiscono anche gli altri.
“Oggi siamo sempre più interconnessi, il che significa che un hack dell’account o del computer di una persona può anche minare la privacy e la sicurezza degli altri. Dopotutto, tramite l’account di Trump puoi anche vedere i messaggi privati inviati a lui o scriverne altri contenenti malware.
Ciò solleva la questione di quanto sia responsabile Twitter quando si tratta di misure di sicurezza.
“Dovrebbero obbligare le persone a utilizzare un’autenticazione aggiuntiva. I giorni in cui si accedeva solo con una password debole sono finiti” afferma Koot.
Twitter si rifiuta di rispondere alle domande, affermando di non commentare mai le misure di sicurezza prese dai singoli utenti.
La domanda però rimane: perché Trump stava usando una password così debole e semplice.
Gevers ha una possibile spiegazione: “Trump ha più di 70 anni: gli anziani spesso disattivano la verifica in due passaggi perché la trovano troppo complicata. Mia madre, per esempio. Per le giovani generazioni la sicurezza digitale è più evidente.”
Questa storia è preoccupante.
Il canale di comunicazione più importante del Presidente degli Stati Uniti d’America, un uomo che viene portato in giro in un veicolo blindato, che è affiancato da un esercito di personale di sicurezza, può essere violato con una password facile da indovinare .