Un settore non regolamentato, fatto di catene di intermediari non verificati

Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli.



[ZEUS News - www.zeusnews.it - 29-07-2025]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli

Il problema è che questo settore è scarsamente regolamentato, ed è facilissimo diventare intermediari di miliardi di messaggi privati. In particolare, la Fink Telecom Services è nota agli esperti del settore per aver collaborato con agenzie di sorveglianza governative e con società specializzate nella sorveglianza digitale. Sempre Bloomberg sottolinea che "sia i ricercatori di sicurezza informatica, sia i giornalisti investigativi hanno pubblicato rapporti che accusano la Fink di essere coinvolta in vari casi di infiltrazione in account online privati." Il CEO dell'azienda, Andreas Fink, respinge le accuse.

Le aziende che usano gli SMS per autenticare i propri servizi sono così ansiose di contenere i costi che si appoggiano a lunghe e intricate catene di intermediari non verificati, anche se sanno che questo è un comportamento pericoloso. Una delle principali organizzazioni di settore, il GSMA, ha pubblicato nel 2023 un codice di condotta che sconsiglia questa prassi proprio perché permetterebbe ai criminali di intercettare gli SMS contenenti i codici di sicurezza. Ma si tratta di un codice di condotta volontario, e sembra proprio che manchi la volontà diffusa di applicarlo.

Il rischio che deriva da questa carenza di volontà è tutt'altro che teorico. Nel 2020, per esempio, è emerso che una serie di attacchi informatici ai danni di investitori in criptovalute aveva usato proprio questa tecnica: un criminale informatico aveva ottenuto in questo modo i codici di autenticazione necessari per accedere agli account di mail e a quelli di gestione delle criptovalute di una ventina di persone in Israele. E ci sono altri casi documentati di intercettazioni e sorveglianze governative basate su questo approccio.

Per approfondire:
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...
Violazione record: 184 milioni di credenziali pubblicate nel web
Siti per adulti, la verifica dell'età non avverrà tramite SPID

Purtroppo l'industria della trasmissione degli SMS, che si stima abbia un valore di oltre 30 miliardi di dollari, non ha strumenti legali che le consentano di scremare eventuali intermediari disonesti. I grandi utenti, ossia le aziende, appaltano gli invii dei loro codici di autenticazione a uno di questi intermediari e non hanno modo di sapere se questi invii vengono subappaltati e se quel subappaltatore a sua volta cede il contratto a terzi, e così via, in un complicato gioco internazionale di scatole cinesi e di società che spesso non hanno nemmeno bisogno di una licenza per operare.

E i nostri codici di sicurezza viaggiano così in questo mare burrascoso come messaggi in bottiglia che tutti possono leggere, mentre noi crediamo di aver protetto i nostri account attivando gli SMS di autenticazione.

Per fortuna ci sono delle soluzioni.

Proposte di lettura:
Microsoft inaugura l'era degli account senza password
Siti per adulti, Agcom impone la verifica dell’età con il doppio anon...
Microsoft pensiona Desktop Remoto: al suo posto c'è la Windows App
Passkey in pratica: proteggere un account Google

Ti invitiamo a leggere la pagina successiva di questo articolo:
App di autenticazione e chiavi hardware, anche di scorta

Sullo stesso tema:
Addio password, benvenuta passkey?
WhatsApp ora supporta Passkey
Storia di un hacker
SPID a rischio, due mesi per deciderne il futuro

Ti raccomandiamo anche:
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti
La seduttrice informatica assetata di bitcoin
Spid creepshow, la sospensione

Commenti all'articolo (ultimi 5 di 12)


Gladiator
In realtà di casi ce ne sono stati parecchi, alcuni basati su SIM swapping / SIM hijacking che è il più comune: l’aggressore convince l’operatore telefonico a trasferire il numero del soggetto bersaglio su una SIM a suo nome, a quel punto riceve lui gli SMS 2FA. Esempi: - Twitter/Jack Dorsey (ex CEO) → SIM swap nel 2019 - Molti... Leggi tutto
29-11-2025 15:32
{Real}
Secondo me quando si parla di "colabrodo" si fa eccessivo allarmismo, dato che tecnicamente il numero telefonico e la relativa password temporanea sono dati offline assolutamente separati da tutti gli altri dati personali che invece viaggiano online. Come puoi accedere ai dati offline e anche a quelli online contemporaneamente?... Leggi tutto
5-11-2025 13:27
zero
Ci sarebbe da precisare che e' possibile sostituire gli SMS con metodi piu' sicuri (Authenticator, dispositivo hardware, passkey) solamente se il fornitore del servizio li supporta. Altrimenti passa il messaggio che il "colpevole" sia l'utente. .
5-11-2025 11:13

zeross
comunque gli SMS sono nati in una era in cui nel mondo c'era il monopolio delle compagnie telefoniche nazionali e certi problemi non venivano evidenziati perché mancava la base da cui sarebbero potuti nascer questi inconvenienti. Ora è un po tardi per porre rimedio l prodotto SMS, ma i sono strategie che se usate con buon senso aiutano a... Leggi tutto
29-7-2025 23:09
Leggi gli altri 7 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A quali condizioni lavoreresti da casa anziché in ufficio?
Accetterei uno stipendio inferiore perché risparmierei sui trasporti e in tempo.
Vorrei uno stipendio maggiore perché l'azienda risparmierebbe su locali, strumenti, sicurezza.
Allo stesso stipendio.
Non rinuncerei al lavoro in ufficio per nulla al mondo.

Mostra i risultati (2766 voti)
Gennaio 2026
n. 4046 del 05-01-2026
IPv6 compie 30 anni: progressi e ritardi. Perché il mondo resta ancora con IPv4?
n. 4045 del 02-01-2026
POS collegato alla cassa: dal 2026 parte la stretta anti-evasione con controlli automatici
Dicembre 2025
n. 4044 del 31-12-2025
Dopo ChatGPT
n. 4043 del 29-12-2025
Windows 11, prestazioni degli SSD migliorabili fino all'80%. Ecco come attivare il driver
n. 4042 del 24-12-2025
PagoPA lascia il MEF: Poste e Poligrafico rilevano la società per mezzo miliardo
n. 4041 del 22-12-2025
IA al comando di un distributore automatico: snack gratis e centinaia di dollari in perdita
n. 4040 del 19-12-2025
Ordina RAM DDR 5 su Amazon, riceve DDR 2: ecco come funziona la truffa del reso
n. 4039 del 17-12-2025
Televisori LG, dopo l'aggiornamento compare l'app di Copilot. E non si può più togliere
n. 4038 del 16-12-2025
Google lancia la traduzione simultanea universale: bastano qualsiasi telefono Android e auricolari
n. 4037 del 15-12-2025
Tassa da 2 euro sui pacchi fino a 150 euro: la Manovra 2026 coinvolge milioni di spedizioni
n. 4036 del 12-12-2025
Lo script open source che fa sparire Copilot, Recall e gli altri componenti IA da Windows 11
n. 4035 del 09-12-2025
Google Antigravity cancella un intero drive: la IA si scusa, ma i dati sono persi
n. 4034 del 05-12-2025
Migliaia di aerei A320 a terra. Perché è una buona notizia
n. 4033 del 04-12-2025
Arduino passa a Qualcomm: la comunità hacker esplode di malcontento
n. 4032 del 03-12-2025
Piracy Shield, i provider italiani presentano il conto: 10 milioni di euro l'anno
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 7 gennaio
2025
IA, due ore per creare una perfetta replica digitale
2022
Metodi d'indagine: la Regola dell'Informazione Laterale
2021
Whatsapp obbliga gli utenti a regalare i dati a Facebook
2019
Vinili e musicassette, nel 2018 le vendite hanno continuato a crescere
2018
Meltdown e Spectre, le cose da sapere e da fare (senza panico)
2016
Su Amazon ora si può pagare a rate
2015
Ventiduenne svela il trucco per trovare voli sottocosto
2014
Una backdoor minaccia i router Linksys e Netgear
2013
Scuole e iscrizione online
2012
Quando il webdesigner influenza l'utente
2011
Il distributore automatico intelligente vende il triplo
2009
Tutti gli annunci di Apple al Macworld
2008
Il meglio dal Forum "Software Per Il Web"
2005
L'antispyware di Microsoft
2004
Come ti convinco a infettarti da solo
2003
Voci dalla Rete
2002
Net art e sorveglianza
Olimpo Informatico


 
web metrics