Un settore non regolamentato, fatto di catene di intermediari non verificati

Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli.



[ZEUS News - www.zeusnews.it - 29-07-2025]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli

Il problema è che questo settore è scarsamente regolamentato, ed è facilissimo diventare intermediari di miliardi di messaggi privati. In particolare, la Fink Telecom Services è nota agli esperti del settore per aver collaborato con agenzie di sorveglianza governative e con società specializzate nella sorveglianza digitale. Sempre Bloomberg sottolinea che "sia i ricercatori di sicurezza informatica, sia i giornalisti investigativi hanno pubblicato rapporti che accusano la Fink di essere coinvolta in vari casi di infiltrazione in account online privati." Il CEO dell'azienda, Andreas Fink, respinge le accuse.

Le aziende che usano gli SMS per autenticare i propri servizi sono così ansiose di contenere i costi che si appoggiano a lunghe e intricate catene di intermediari non verificati, anche se sanno che questo è un comportamento pericoloso. Una delle principali organizzazioni di settore, il GSMA, ha pubblicato nel 2023 un codice di condotta che sconsiglia questa prassi proprio perché permetterebbe ai criminali di intercettare gli SMS contenenti i codici di sicurezza. Ma si tratta di un codice di condotta volontario, e sembra proprio che manchi la volontà diffusa di applicarlo.

Il rischio che deriva da questa carenza di volontà è tutt'altro che teorico. Nel 2020, per esempio, è emerso che una serie di attacchi informatici ai danni di investitori in criptovalute aveva usato proprio questa tecnica: un criminale informatico aveva ottenuto in questo modo i codici di autenticazione necessari per accedere agli account di mail e a quelli di gestione delle criptovalute di una ventina di persone in Israele. E ci sono altri casi documentati di intercettazioni e sorveglianze governative basate su questo approccio.

Ti raccomandiamo anche:
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...
Violazione record: 184 milioni di credenziali pubblicate nel web
Siti per adulti, la verifica dell'età non avverrà tramite SPID

Purtroppo l'industria della trasmissione degli SMS, che si stima abbia un valore di oltre 30 miliardi di dollari, non ha strumenti legali che le consentano di scremare eventuali intermediari disonesti. I grandi utenti, ossia le aziende, appaltano gli invii dei loro codici di autenticazione a uno di questi intermediari e non hanno modo di sapere se questi invii vengono subappaltati e se quel subappaltatore a sua volta cede il contratto a terzi, e così via, in un complicato gioco internazionale di scatole cinesi e di società che spesso non hanno nemmeno bisogno di una licenza per operare.

E i nostri codici di sicurezza viaggiano così in questo mare burrascoso come messaggi in bottiglia che tutti possono leggere, mentre noi crediamo di aver protetto i nostri account attivando gli SMS di autenticazione.

Per fortuna ci sono delle soluzioni.

Articoli suggeriti:
Microsoft inaugura l'era degli account senza password
Siti per adulti, Agcom impone la verifica dell’età con il doppio anon...
Microsoft pensiona Desktop Remoto: al suo posto c'è la Windows App
Passkey in pratica: proteggere un account Google

Ti invitiamo a leggere la pagina successiva di questo articolo:
App di autenticazione e chiavi hardware, anche di scorta

Articoli raccomandati:
Addio password, benvenuta passkey?
WhatsApp ora supporta Passkey
Storia di un hacker
SPID a rischio, due mesi per deciderne il futuro

Leggi anche:
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti
La seduttrice informatica assetata di bitcoin
Spid creepshow, la sospensione

Commenti all'articolo (ultimi 5 di 12)


Gladiator
In realtà di casi ce ne sono stati parecchi, alcuni basati su SIM swapping / SIM hijacking che è il più comune: l’aggressore convince l’operatore telefonico a trasferire il numero del soggetto bersaglio su una SIM a suo nome, a quel punto riceve lui gli SMS 2FA. Esempi: - Twitter/Jack Dorsey (ex CEO) → SIM swap nel 2019 - Molti... Leggi tutto
29-11-2025 15:32
{Real}
Secondo me quando si parla di "colabrodo" si fa eccessivo allarmismo, dato che tecnicamente il numero telefonico e la relativa password temporanea sono dati offline assolutamente separati da tutti gli altri dati personali che invece viaggiano online. Come puoi accedere ai dati offline e anche a quelli online contemporaneamente?... Leggi tutto
5-11-2025 13:27
zero
Ci sarebbe da precisare che e' possibile sostituire gli SMS con metodi piu' sicuri (Authenticator, dispositivo hardware, passkey) solamente se il fornitore del servizio li supporta. Altrimenti passa il messaggio che il "colpevole" sia l'utente. .
5-11-2025 11:13

zeross
comunque gli SMS sono nati in una era in cui nel mondo c'era il monopolio delle compagnie telefoniche nazionali e certi problemi non venivano evidenziati perché mancava la base da cui sarebbero potuti nascer questi inconvenienti. Ora è un po tardi per porre rimedio l prodotto SMS, ma i sono strategie che se usate con buon senso aiutano a... Leggi tutto
29-7-2025 23:09
Leggi gli altri 7 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è il tuo browser preferito?
Internet Explorer
Firefox
Chrome
Safari
Opera
Un altro

Mostra i risultati (12463 voti)
Marzo 2026
n. 4092 del 27-03-2026
CPU Intel e AMD introvabili
n. 4091 del 26-03-2026
Mozilla lancia la VPN gratuita in Firefox
n. 4090 del 24-03-2026
Windows 11, vacilla l'obbligo dell'account Microsoft
n. 4089 del 23-03-2026
Attacco informatico paralizza gli etilometri con alcolock: migliaia di veicoli fermi
n. 4088 del 20-03-2026
La Ricerca Live di Google arriva in Italia
n. 4087 del 19-03-2026
Samsung ritira il Galaxy Z TriFold dopo tre mesi
n. 4086 del 18-03-2026
Linea fissa TIM, in arrivo la rimodulazione: rincari di 2,99 euro a partire da maggio
n. 4085 del 16-03-2026
DR-DOS torna in vita: riscritto da zero in assembly, non usa codice legacy e non è open source
n. 4084 del 13-03-2026
Perplexity trasforma il Mac mini in un dipendente digitale che lavora per l'utente
n. 4083 del 12-03-2026
Excel, cinque trucchi che ogni principiante dovrebbe imparare subito
n. 4082 del 11-03-2026
50.000 specchi satellitari illumineranno la Terra
n. 4081 del 09-03-2026
Office EU, la suite open source europea che sfida Microsoft e Google
n. 4080 del 06-03-2026
Svelato per errore MacBook Neo, il portatile economico di Apple
n. 4079 del 05-03-2026
Windows 12 è in arrivo: NPU obbligatoria e milioni di PC a rischio obsolescenza
n. 4078 del 03-03-2026
Motorola lascia Android e va su GrapheneOS, per la massima privacy
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 28 marzo
2025
ChatGPT-4o genera immagini realistiche
2024
Intel e Microsoft svelano le caratteristiche degli AI PC
2023
iPhone 15, addio alle SIM anche in Italia?
2022
Scoperto dopo 37 anni un easter egg in Windows 1.0
2021
Truffa su Telegram: niente panico, non vi hanno “hackerato” tutto
2020
La truffa della chiavetta Usb che arriva per posta
2019
Il nuovo Edge funziona anche con Windows 7, 8 e 8.1
2018
Google blocca le app sugli smartphone Android non certificati
2017
Video offensivo girato ad Amatrice, sospesi i vigili ''zombie''
2016
La bufala di Mason Wells, ragazzo ''scampato a tre attentati''
2015
Squadra di basket tedesca retrocessa da un aggiornamento di Windows
2014
In arrivo Ubuntu 14.04 Trusty Tahr LTS
2013
Il più grande attacco DDoS della storia di Internet
2012
GPS vuol dire fiducia?
2011
Sendoid, il peer to peer dopato
2010
Dipendente dell'aeroporto spoglia una bella ragazza a tradimento
2009
Il meglio del forum Multimedia
2008
Photoshop sbarca sul web
2007
Un messaggino per aiutare i bambini del Darfur
2006
Il governo tedesco sposa le major
2005
Telecom Italia vende la sua "Security"
2004
Il Governo istituisce l'e-mail certificata
2003
Web e pubblicità, una miscela esplosiva
2002
BSA, ancora e sempre terrorismo dell'informazione
Olimpo Informatico


 
web metrics