È un difetto che può comportare l'acquisizione di account, il furto di carte di credito e perdite di privacy, eppure non è stato risolto per anni su determinati siti Web e app online.
Lo scenario funziona in questo modo: il proprietario di un dispositivo mobile tenta di registrare un account su un sito Web o un'app Web, utilizzando un numero di telefono che gli è stato recentemente assegnato da un operatore telefonico. Ma quel numero di telefono in precedenza apparteneva a un proprietario di telefono diverso che contemporaneamente si è registrato anche per lo stesso servizio web. Invece di creare un nuovo account, il nuovo proprietario del dispositivo viene invece connesso all'account del proprietario originale del numero di telefono.
"È probabilmente una delle vulnerabilità più vecchie per quanto riguarda i numeri di telefono cellulare … e l'identità", ha affermato Marc Rogers, direttore esecutivo della sicurezza informatica presso Okta.
È quasi come se il nuovo proprietario del dispositivo avesse tirato fuori una truffa di scambio SIM, solo che non c'era intenzione di inganno. Nessuno ha indotto con l'inganno il gestore wireless a riassegnare il numero di telefono di una vittima a un altro dispositivo. È successo solo per caso.
Tuttavia, una persona meno etica potrebbe trarre vantaggio dalla situazione esaminando l'account online dello sconosciuto per le informazioni sulla carta di pagamento o i dettagli personali. Questo è ciò che ha spinto un cittadino preoccupato a contattare SC Media la scorsa settimana dopo che suo marito ha riscontrato proprio questo difetto durante la registrazione di un account con il mercato online delle case vacanze Airbnb.
"Quando siamo andati sul sito di Airbnb per registrarci, il sito ci ha dato alcune opzioni per registrarci come nuovo utente. La prima opzione dell'elenco è per numero di telefono ”, ha riferito l'informatore, che desidera rimanere anonimo. "Così siamo andati avanti e abbiamo digitato il numero di telefono di mio marito, che ha ottenuto lo scorso maggio, non molto tempo fa."
A suo marito è stato quindi inviato un codice di verifica a quattro cifre per accedere al sito e "boom! Abbiamo effettuato l'accesso all'account di un altro utente ", ha detto.
Quell'account appartiene a uno sconosciuto le cui informazioni valide sulla carta di credito, indirizzo e-mail, numero di telefono e altri dettagli personali erano tutti accessibili all'informatore e al marito, a quanto pare tutto perché lo sconosciuto aveva precedentemente posseduto il numero di telefono del marito.
Quando venerdì scorso SC Media ha contattato Airbnb in merito al reclamo, un portavoce ha detto che la società avrebbe affrontato il problema e martedì ha fatto seguito con una dichiarazione: "Abbiamo sviluppato una soluzione per il problema segnalato che coinvolge numeri di telefono riciclati e nuove registrazioni di account, che fortunatamente ha interessato solo un numero molto limitato di nostri utenti. Valutiamo e miglioriamo costantemente le nostre protezioni e ci impegniamo a rafforzare i controlli di sicurezza della nostra piattaforma ".
Ma l'informatore non era d'accordo e ha detto che il problema non è stato risolto. Ha detto di averlo determinato non accedendo di nuovo all'account dello sconosciuto, ma tentando di registrarsi per un nuovo account Airbnb utilizzando il proprio numero di telefono (non quello di suo marito), anche se aveva già un account registrato con quel numero. Invece di creare un nuovo account, ha effettuato l'accesso al proprio account esistente in precedenza, ha detto a SC Media.
Inoltre, ha affermato di non aver mai ricevuto alcun avviso da Airbnb che la informasse di questa attività anomala di accesso all'account e quindi ha concluso che lo sconosciuto il cui account è stato dirottato accidentalmente probabilmente non l'ha mai fatto.
L'informatore ha inviato a SC Media numerosi screenshot del sito Web di Airbnb come prova di questa acquisizione accidentale dell'account, nonché immagini della sua attività di chat con il supporto online di Airbnb. A un certo punto, il membro del team di supporto dice al tipster che l'unico modo per il marito di creare il proprio account è registrarsi con un numero di telefono diverso, apparentemente perché il suo numero era ancora associato all'account dello sconosciuto.
A quanto pare, i siti Web e le app hanno riscontrato questo problema comune per anni.
"I numeri di telefono vengono riciclati più frequentemente di prima, soprattutto con l'esplosione di nuovi dispositivi che richiedono schede SIM", ha spiegato Rogers.
Le società di telecomunicazioni cercano di evitare i problemi associati al riciclaggio di numeri sconosciuti mettendo quei numeri fuori servizio per un periodo di tempo prima di riciclarli. (La FCC richiede un minimo di 90 giorni.) Tuttavia, questa non è una panacea, quindi è consigliabile che gli sviluppatori di siti Web e app Web, insieme ai proprietari di account Web, seguano le migliori pratiche per alleviare il problema.
Molti non lo fanno, però. Secondo quanto riferito, anche il servizio di messaggistica WhatsApp ha riscontrato lo stesso problema di registrare individui con numeri di telefono riciclati negli account di altre persone.
In alcuni casi, gli operatori di siti Web o app potrebbero trovarsi in violazione del GDPR o degli standard di sicurezza dei dati del settore delle carte di pagamento se le informazioni degli utenti dovessero essere esposte, ha affermato Rogers.
Best practice per sviluppatori, utenti
Per i principianti, gli sviluppatori web e di app dovrebbero bloccare gli account dopo un periodo di inattività. In questo modo, l'inserimento di un numero di telefono riutilizzato mesi dopo che un account diventa inattivo non può semplicemente riattivarlo automaticamente.
"Le migliori pratiche impongono che se si dispone di un account utente rimane in silenzio per più di un determinato periodo di tempo, in particolare un account associato ai dettagli di pagamento, è necessario bloccarlo", ha affermato Rogers, "perché l'utente è scomparso".
"Per lo meno, se l'utente sembra tornare, costringilo a eseguire un nuovo processo di registrazione per dimostrare che è la stessa persona", ha continuato Rogers. "Ma questo in alcuni casi non sta accadendo e ci sono alcune applicazioni di alto profilo là fuori che si aggrappano alle informazioni degli utenti, quasi indefinitamente."
Nel caso presentato dall'informatore, non è chiaro se lo sconosciuto il cui account è stato accidentalmente acceduto stia ancora utilizzando attivamente il suo account Airbnb, nonostante non utilizzi più il numero di telefono con cui lo ha registrato originariamente. Se ha utilizzato attivamente il suo account, il suggerimento di Rogers di bloccare gli account dormienti da parte di Rogers non avrebbe impedito da solo l'acquisizione accidentale dell'account.
Tuttavia, ci sono anche più aziende come Airbnb che possono fare. Vale a dire, possono aggiungere un secondo fattore di autenticazione durante la registrazione o la nuova registrazione per un servizio Web online. "Dovrebbe richiedere ulteriori informazioni, soprattutto durante la visualizzazione di cose come i sistemi di pagamento finanziario", ha detto Rogers. La semplice prova che possiedi fisicamente il telefono non è sufficiente nella situazione presentata dall'informatore: "Beh, ovviamente sei in possesso del telefono", ha detto Rogers. Dopotutto, il numero di telefono ti è stato assegnato.
Avvisi di accesso proattivi che informano i titolari degli account quando si sta verificando una nuova attività di accesso anomala potrebbero anche rivelarsi un'utile misura di sicurezza per avvisare di possibili furti di account prima che si verifichino danni.
Un esempio di azienda che segue le migliori pratiche, ha affermato Rogers, è l'app di messaggistica Signal. Se gli utenti di Signal scambiano i telefoni o cambiano i numeri su un telefono, iniziano con una cronologia dei messaggi vuota quando reinstallano l'app.
C'è anche l'onere per i proprietari di account individuali di modificare i dettagli del proprio account online o persino di disattivare i propri account se intendono abbandonare o cambiare numero di telefono, ha affermato Rogers. Questa è anche potenzialmente una lezione importante per le aziende, che a volte forniscono e rieseguono il provisioning di dispositivi mobili di proprietà aziendale a più dipendenti che potrebbero continuare a utilizzare tali dispositivi per registrarsi per account online.
"Lo stesso problema esiste con i telefoni cellulari che si acquistano di seconda mano su eBay", ha detto Rogers, osservando che "ha preso in mano i telefoni di seconda mano e ha trovato su di essi informazioni sensibili degli utenti, persino ID di sessione validi dai principali account".
Un migliore servizio clienti da parte di Airbnb avrebbe potuto aiutare anche l'informatore, che era frustrato da molteplici incomprensioni mentre parlava con un agente dell'assistenza clienti. A un certo punto, il rappresentante ha pensato erroneamente che l'informatore stesse chiedendo se poteva completare una prenotazione di terze parti. Successivamente, il rappresentante si è rivolto erroneamente all'informatore con il nome sbagliato, utilizzando il nome dello sconosciuto il cui account è stato accidentalmente dirottato.
Anche se Rogers non è stato sorpreso di apprendere di questo problema, ha espresso perplessità sul motivo per cui gli sviluppatori continuano a lottare con questa vulnerabilità.
“Conosciamo questo problema da almeno 20 anni. E ci sono un sacco di app là fuori che progettano in modo sicuro per garantire che le loro app abbiano la privacy in base alla progettazione ", ha affermato Rogers. "Quindi direi che in gran parte non ci sono scuse per le app che non lo fanno."
L' acquisizione accidentale dell'account Airbnb collegata a numeri di telefono riciclati è apparsa per la prima volta su SC Media .