Il 12 ottobre scorso l'account Twitter di John Podesta, capo della campagna presidenziale di Hillary Clinton, ha pubblicato un annuncio clamoroso: "Ho cambiato squadra. Votate Trump 2016. Salve, pol". "Pol" è un riferimento a una sezione del sito 4chan nella quale si discute, fra l'altro, di violazioni informatiche in campo politico: l'account di Podesta era infatti stato violato e ignoti ne avevano preso il controllo.

Una figuraccia informatica epica per il team Clinton, anche perché non ha richiesto un attacco particolarmente sofisticato. Infatti, pur trovandosi in una posizione di enorme responsabilità, John Podesta non aveva preso neppure le misure minime di sicurezza.

Podesta sapeva di essere nel mirino non solo perché ha un ruolo politico cruciale ma anche perché aveva già subito una violazione informatica pesante: Wikileaks sta infatti pubblicando man mano le sue mail trafugate. Giornali e telegiornali stanno dando ampio risalto alla cosa, per cui Podesta era al corrente di questa violazione, già di per sé imbarazzante.

Una di queste mail pubblicate indicava che la password del suo account iCloud, associato al suo iPhone, era Runner4567. Già il fatto stesso di inviare una password via mail in chiaro è un errore di sicurezza madornale, ma c’è di peggio: nonostante Podesta fosse chiaramente sotto attacco, a quanto risulta non aveva attivato la verifica in due passaggi (autenticazione a due fattori) sui propri account Twitter e iCloud. E così i dati sensibili custoditi nel suo iPhone (nomi, numeri di telefono, appuntamenti e altro ancora) e nel cloud di Apple sono finiti online, visibili a tutti.

È possibile che l'account Twitter di Podesta è stato violato con facilità perché usava la stessa password usata per iCloud, come fanno incoscientemente in tanti; in tal caso va ricordato che se ci fosse stata attiva la verifica in due passaggi gli intrusi non avrebbero potuto sfruttare la password.

Le voci secondo le quali l'iPhone e l'iPad di Podesta sarebbero stati azzerati grazie ai dati trovati nelle mail di Podesta pubblicate da Wikileaks sono state smentite da Wikileaks stessa, che dice di aver "verificato che le credenziali erano già state cambiate".

La leggerezza con la quale i politici trattano la sicurezza informatica, anche quando c'è letteralmente di mezzo la sicurezza nazionale, non cessa mai di meravigliarmi. Ma è una meraviglia del secondo tipo: quello in cui fai fatica a credere che qualcuno in un ruolo così importante sia così informaticamente ingenuo e incompetente da non assumere un consulente informatico e seguirne le raccomandazioni.

Fonte: Ars Technica.