Del software “bucato” utilizzato da Apple avrebbe esposto i Pin telefonici di oltre 77 milioni di clienti di T-Mobile. L’accusa è arrivata da due ricercatori di sicurezza, che hanno lanciato l’alert sullo stato dei sistemi della Mela, a cui si è aggiunto un altro campanello d’allarme riguardante questa volta gli utenti di At&t e la compagnia assicurativa Asurion. Va detto subito che quanto rivelato dai due esperti, Nicholas Ceraolo e Phobia (nickname di Twitter), è servito per risolvere in poco tempo i problemi e a evitare figuracce ben più grandi alle aziende coinvolte. Andiamo con ordine. Nel caso di Apple, si è trattato di un errore in fase di configurazione fra i servizi del negozio online di Cupertino e le Api di T-Mobile, utilizzate per la validazione degli account. Come spiega Buzzfeed, una delle prime testate a riportare la notizia: “Dopo che l’utente ha iniziato la procedura per comprare un iPhone e dopo la scelta di pagare rate mensili con T-Mobile, il sito di Apple porta l’acquirente su un modulo di autenticazione che richiede il numero di telefono e il Pin dell’account, oppure le ultime quattro cifre del numero di previdenza sociale”.

La pagina, però, permetteva di inserire i dati infinite volte, aprendo così praterie ad attacchi forza bruta dei pirati informatici. Con i moduli di altri gestori, invece, i tentativi sono limitati e dopo dieci errori il sito si blocca per dieci minuti impedendo così incursioni di questo genere. Secondo Ceraolo e Phobia, il bug era con tutta probabilità a livello di collegamento fra le Api di T-Mobile, utilizzate per la validazione degli input, e le pagine ospitate sui server di Cupertino.

Con il Pin in mano, un hacker potrebbe “dirottare” la scheda Sim e il numero di telefono di un cellulare e, di conseguenza, sfruttare gli eventuali sistemi di autenticazione a due fattori che si basano sull’invio di un codice univoco via Sms per accedere ai servizi online dell’utente. Un problema molto simile ha colpito anche l’operatore At&t e la società assicurativa Asurion, specializzata nel campo delle telecomunicazioni.

Anche in questo caso, un modulo online (per sporgere reclami) non prevedeva un tetto massimo di inserimenti dei dati, facilitando così il ricorso a metodi forza bruta. Non è possibile sapere il numero esatto degli utenti potenzialmente colpiti dalla vulnerabilità ma Asurion, che collabora con tutte le principali telco statunitensi per polizze assicurative a copertura di furti o danneggiamenti dei telefoni, ha circa trecento milioni di clienti.

At&t ha fatto sapere che indagherà in modo approfondito sulla vicenda e, se necessario, “prenderà provvedimenti”. Apple, invece, ha preferito non rilasciare dichiarazioni aggiuntivi a Buzzfeed, limitandosi a ringraziare il lavoro dei due ricercatori che ha permesso di individuare la falla e di chiuderla.