Non sarà affascinante come il fischio con il quale Zorro richiamava a sé il fidato destriero, probabilmente sarà meno epico della formula “apriti sesamo” con cui Ali Babà e i 40 ladroni aprono l’ingresso della caverna segreta, sicuramente non è accessibile quanto la strofinata alla lampada da parte di Aladin per invocare il genio, ma conoscere l’indirizzo email può aprire porte inimmaginabili.
A dir la verità le porte in questione sono, ahinoi, più immaginabili di quanto dovrebbero e prendono le sembianze delle portiere delle automobili.
La domotica e l’Intelligenza Artificiale amplificano rischi e poteri
Lo diciamo spesso che da grandi poteri derivano grandi responsabilità: la costante interconnessione, data ormai per scontata in qualsiasi contesto, espone a rischi non o poco considerati.
Ai passi da gigante della domotica, non è seguita quella che dovrebbe rappresentare la necessaria e naturale ombra: la privacy.
Un rischio che diventa vero e proprio pericolo dinanzi ai sistemi di Intelligenza Artificiale che raccolgono, utilizzano e archiviano enormi quantità di dati personali senza che l’utente se ne renda effettivamente conto.
Il cybercrime si diffonde: aumenta l’esercito e amplia le tecniche
Lupin era “unico e ineguagliabile” forse un tempo: ora con l’accesso a qualsiasi tipo di informazione e formazione con estrema facilità favorisce la diffusione di ogni tecnica.
Non serve dunque l’audacia di Lupin per arruolarsi nel ben nutrito esercito del cybercrime, che inevitabilmente detta il passo e la strada anche alla cybersecurity, proprio come l’investigatore Zenigata sulle tracce di Arsenio III.
Le chiavi dell’auto vengono sostituite dall’indirizzo mail…altrui
La denuncia di Sam Curry è la spiegazione a tante potenziali denunce di furto auto: lo specialista di Yuga Labs in due tweet (primo e secondo) ha messo in luce la vulnerabilità nelle applicazioni mobili per i veicoli Hyundai e Genesis.
La piattaforma smart car SiriusXM, utilizzata su auto di altri produttori permetteva di sbloccare l’auto da remoto, avviare il motore e compiere altre azioni.
Come riporta Redhotcyber, l’analisi è iniziata con le applicazioni di Hyundai e Genesis che permettono agli utenti di avviare e arrestare il motore da remoto e bloccare e sbloccare i propri veicoli.
Peccato però che la convalida del proprietario dell’auto si basa solo sul suo indirizzo email, incluso nel corpo delle richieste. Addirittura MyHyundai non richiede la conferma dell’indirizzo email in fase di registrazione.
Un gioco da ragazzi impossessarsi di un auto altrui, come testato dagli esperti che hanno creato un nuovo account utilizzando l’indirizzo email del bersaglio con un carattere di controllo aggiuntivo alla fine e inviato una richiesta HTTP all’endpoint Hyundai.
La richiesta conteneva l’e-mail degli esperti e l’indirizzo della vittima: lo stretto necessario per ottenere la convalida.
Addirittura su Youtube si può trovare lo script Python per automatizzare tutte le fasi dell’attacco, per il quale è sufficiente specificare l’indirizzo e-mail della vittima.