Un settore non regolamentato, fatto di catene di intermediari non verificati

Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli.



[ZEUS News - www.zeusnews.it - 29-07-2025]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli

Il problema è che questo settore è scarsamente regolamentato, ed è facilissimo diventare intermediari di miliardi di messaggi privati. In particolare, la Fink Telecom Services è nota agli esperti del settore per aver collaborato con agenzie di sorveglianza governative e con società specializzate nella sorveglianza digitale. Sempre Bloomberg sottolinea che "sia i ricercatori di sicurezza informatica, sia i giornalisti investigativi hanno pubblicato rapporti che accusano la Fink di essere coinvolta in vari casi di infiltrazione in account online privati." Il CEO dell'azienda, Andreas Fink, respinge le accuse.

Le aziende che usano gli SMS per autenticare i propri servizi sono così ansiose di contenere i costi che si appoggiano a lunghe e intricate catene di intermediari non verificati, anche se sanno che questo è un comportamento pericoloso. Una delle principali organizzazioni di settore, il GSMA, ha pubblicato nel 2023 un codice di condotta che sconsiglia questa prassi proprio perché permetterebbe ai criminali di intercettare gli SMS contenenti i codici di sicurezza. Ma si tratta di un codice di condotta volontario, e sembra proprio che manchi la volontà diffusa di applicarlo.

Il rischio che deriva da questa carenza di volontà è tutt'altro che teorico. Nel 2020, per esempio, è emerso che una serie di attacchi informatici ai danni di investitori in criptovalute aveva usato proprio questa tecnica: un criminale informatico aveva ottenuto in questo modo i codici di autenticazione necessari per accedere agli account di mail e a quelli di gestione delle criptovalute di una ventina di persone in Israele. E ci sono altri casi documentati di intercettazioni e sorveglianze governative basate su questo approccio.

Proposte di lettura:
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...
Violazione record: 184 milioni di credenziali pubblicate nel web
Siti per adulti, la verifica dell'età non avverrà tramite SPID

Purtroppo l'industria della trasmissione degli SMS, che si stima abbia un valore di oltre 30 miliardi di dollari, non ha strumenti legali che le consentano di scremare eventuali intermediari disonesti. I grandi utenti, ossia le aziende, appaltano gli invii dei loro codici di autenticazione a uno di questi intermediari e non hanno modo di sapere se questi invii vengono subappaltati e se quel subappaltatore a sua volta cede il contratto a terzi, e così via, in un complicato gioco internazionale di scatole cinesi e di società che spesso non hanno nemmeno bisogno di una licenza per operare.

E i nostri codici di sicurezza viaggiano così in questo mare burrascoso come messaggi in bottiglia che tutti possono leggere, mentre noi crediamo di aver protetto i nostri account attivando gli SMS di autenticazione.

Per fortuna ci sono delle soluzioni.

Articoli suggeriti:
Microsoft inaugura l'era degli account senza password
Siti per adulti, Agcom impone la verifica dell’età con il doppio anon...
Microsoft pensiona Desktop Remoto: al suo posto c'è la Windows App
Passkey in pratica: proteggere un account Google

Ti invitiamo a leggere la pagina successiva di questo articolo:
App di autenticazione e chiavi hardware, anche di scorta

Articoli raccomandati:
Addio password, benvenuta passkey?
WhatsApp ora supporta Passkey
Storia di un hacker
SPID a rischio, due mesi per deciderne il futuro

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Twitter, l'autenticazione a due fattori ora si paga
Chrome 108 supporta passkey, per dire addio alle password
Italiani e identità digitale, già attivi 30 milioni di SPID
Google, autenticazione a due fattori obbligatoria per milioni di utenti
La seduttrice informatica assetata di bitcoin
Spid creepshow, la sospensione

Commenti all'articolo (ultimi 5 di 9)


zeross
comunque gli SMS sono nati in una era in cui nel mondo c'era il monopolio delle compagnie telefoniche nazionali e certi problemi non venivano evidenziati perché mancava la base da cui sarebbero potuti nascer questi inconvenienti. Ora è un po tardi per porre rimedio l prodotto SMS, ma i sono strategie che se usate con buon senso aiutano a... Leggi tutto
29-7-2025 23:09

Homer S.
E mentre i frati piangevano sulle mele sprecate, le suore si rifacevano... [video]https://www.youtube.com/watch?v=zPhd71wZiZY[/video] :jump: Leggi tutto
29-7-2025 15:34
{deimos}
Come detto in un post di altro articolo, il capitalismo, specie quello liberista di rapina che vige negli USA, non pensa al domani: soldi e potere subito, domani si vedrà. Questa visione è "normale" per una azienda di oggi, la cosa che stupisce è che le popolazioni hanno tutto da perderci, eppure o non... Leggi tutto
29-7-2025 12:28
calamarim
Ciao Paolo, sono d'accordo con la tua analisi, ma in totale disaccordo con le conclusioni. In un processo dove si tenda a minimizzare la tecnologia e le soluzioni proprietarie, gli SMS come 2FA sono utilissimi, anzi direi indispensabili. Non sono perfetti, anzi ... ma ti ricordi la storiella dei frati che fecero pipì sulle mele piccole... Leggi tutto
29-7-2025 12:19

Tosevitaa
Grazie Paolo, io stavo usando le pass key per comodità per ora inizierò a passare tutto il possibile a questa nuova e più sicura tecnologia. Per i due telefoni altra ottima idea che dovrò trovare il modo di implementare anche se, dal poco che ho capito, io che ho un iPhone con il ripristino tramite iCloud sul nuovo telefono me le ritrovo... Leggi tutto
29-7-2025 05:50
Leggi gli altri 4 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Autorizzi il browser a ottenere la cronologia dei siti Internet che hai visitato?
Ho disabilitato questa opzione
Sì, ma cancello la cronologia regolarmente
Sì, è comodo, così non devo digitare l'intero indirizzo
Non so

Mostra i risultati (2348 voti)
Luglio 2025
n. 3972 del 31-07-2025
Allora, che cosa si può fare?
n. 3971 del 29-07-2025
Piantedosi propone nuova Autorità per WhatsApp, Telegram e Signal. Messaggistica sotto controllo
n. 3970 del 28-07-2025
Windows XP gira emulato nel browser. Un tuffo nella nostalgia dei primi anni 2000
n. 3969 del 24-07-2025
PosteMobile da Vodafone a TIM: cambio rete nel 2026. 5 milioni di utenti coinvolti
n. 3968 del 23-07-2025
Fratelli d'Italia, stretta sul ''pezzotto'': sanzioni per gli utenti fino a 16.000 euro
n. 3967 del 21-07-2025
Scoprire gli amanti al concerto e licenziarli? In Italia non sarebbe mai potuto succedere
n. 3966 del 19-07-2025
Svelate le specifiche dell'iPhone pieghevole: chip A20, fotocamera da 48 MP e prezzo davvero premium
n. 3965 del 17-07-2025
Compensi per copia privata, la SIAE alza le tariffe. E vuole tassare anche il cloud
n. 3964 del 15-07-2025
ChatGPT in imbarazzo: con un semplice trucco genera chiavi attivazione Windows
n. 3963 del 12-07-2025
La IA di Google "fa calare il traffico" ai siti web: parte la denuncia alla Commissione Europea
n. 3962 del 10-07-2025
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
n. 3961 del 09-07-2025
Il pericolo delle eSIM
n. 3960 del 07-07-2025
SPID, l'addio è ufficiale: il governo punta su CIE e IT Wallet
n. 3959 del 04-07-2025
Bollette gonfiate, le strategie illecite. Scandalo energetico in Italia
n. 3958 del 03-07-2025
Eliza colpisce ancora
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 2 agosto
2024
Microsoft ripulisce Skype levando la pubblicità
2023
Canone TV, dalla bolletta della luce ai telefonini?
2022
Tracciare i Bitcoin
2018
Mozilla vuole un nuovo logo per Firefox e chiede le opinioni degli utenti
2017
Bitcoin si divide in due: nasce Bitcoin Cash
2016
WhatsApp, l'invasione dei messaggi-truffa
2015
Un miliardo di telefonini Android infettabili con un messaggino
2014
Mega-spiegone della storia del green(blue)screen
2013
Canone Rai, pagherà anche chi non ha la TV
2012
I dieci portali più visitati in Italia
2011
Nokia introduce uno smartphone economico con Symbian Anna
2010
Le vacanze si fanno, ma solo se c'è Internet
2009
iPhone in pericolo per un Sms, ma c'è la patch
2007
Windows su un Sinclair ZX Spectrum
2006
Il Pc da 100 dollari arranca
2005
Internet Explorer 7 beta 1
2004
La t-Shirt che fa la telediagnosi
2003
Il motore di ricerca per mappe
2002
Forza Chiara conquista la Rete
2001
Servizio Bibliotecario Nazionale
Olimpo Informatico


 
web metrics