Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Disneyland, account Facebook e Instagram violati, post osceni online

Nonostante fiocchino esempi e consigli, ormai da mesi, persone e aziende continuano a cascare sulla frode del furto dell’account Instagram. Stavolta è toccato a Disney con i suoi milioni di utenti

Giovedì scorso sono apparsi, agli occhi di milioni di utenti, alcuni post dal contenuto deplorevole sull’account Instagram ufficiale Disneyland. Il periodo che stiamo vivendo sembra proprio fiorente per questa truffa che, a quanto pare, continua a sortire gli effetti sperati benché ormai nota a chiunque. Sono presenti online numerosi articoli della stampa internazionale su questo argomento Disney, ma ai miei occhi nessuno sembra aver centrato il problema, provo qui a riassumere quanto accaduto.

Account social Disneyland compromessi e deturpati

Sono stati identificati quattro post e due storie, a sfondo razzista e offensivo, all’interno del feed ufficiale dell’account Instagram aziendale Disneyland. I contenuti sono stati rimossi nel giro di poco più di un’ora, appena la società è riuscita (insieme a Meta Inc.) a riprendere possesso dell’account Instagram/Facebook. Ma questo non ha escluso gli screenshot di quanto accaduto che hanno fatto in breve tempo il giro del mondo.

“Mi chiamo David DO! Sono un super hacker che è qui per vendicarsi della terra Disney. Sono fottutamente stanco di tutti questi negri dipendenti Disney che mi prendono in giro per avere un pene piccolo”, ha scritto l’autore malintenzionato in uno dei post pubblicati.

Giusto inoltre far presente che l’account Instagram in questione, compromesso, conta 8.4 milioni di utenti di tutto il mondo.

Inutile inoltre sottolineare come questo sia un account marginale per la società, nonostante il gran numero di seguaci. Sembra quasi una giustificazione all’aver altro a cui pensare, visto che non è l’account principale. Come il classico “@Disney”, la cui popolarità gli è valsa quasi 34 milioni di follower.

No, il fatto è e rimane comunque grave.

Cosa dice la società in merito? Appena dopo aver ripristinato l’account e ripulito il feed compromesso, ha detto a Reuters:

“Abbiamo lavorato rapidamente per rimuovere il contenuto riprovevole, proteggere i nostri account e i nostri team di sicurezza stanno conducendo un’indagine”.

Quali sono state le reazioni degli utenti?

Riporto qui alcuni tweet che hanno seguito la vicenda, da semplici spettatori, per evidenziare quando sia stato diffuso l’impatto, a livello globale, nonostante sia passato poco tempo prima della rimozione dei contenuto scabrosi.

Sorvolando sull’auto-proclamazione di “super hacker” che l’autore malevolo ha espresso, rimane la classica domanda del “come può essere successo?“.

Rimane necessario, a questo punto, evidenziare che non si tratta di alcuna operazione di “super hacker”. Si tratta di una pura e semplice delinquenza, sembra istigata da convinzioni personali e pregiudizi nei confronti del target colpito, che ha approfittato dell’assurda inefficienza di un gigante multinazionale come Disney.

La lezione del 2020, che ha visto la violazione di migliaia di account utente Disney+ per poi essere rivenduti online nel mercato illegale dello streaming, non ha evidentemente suscitato il comportamento digitale sperato. In effetti già all’epoca, guardarsi intorno nel mondo della cyber sicurezza è stato impegnativo, visto che, nonostante le evidenze, comunicarono ufficialmente che non avevano notato “nessuna prova di una violazione della sicurezza” sui propri server.

La frode per il furto degli account Instagram

Ciò che deve necessariamente sconvolgere, di tutta questa vicenda, è che sono mesi che questa frode gira tra gli utenti Instagram, cercando di rubarne le credenziali. Così come sono mesi che qualsiasi voce esperta, stia parlando di autenticazione a doppio fattore (2FA) per ogni webapp che preveda un accesso personale. Social compresi, ovviamente.

Posso anche considerare legittimo il ragionamento secondo il quale l’account principale aziendale sia @Disney, con 34 milioni di followers, ma non posso accettare il fatto che pure questo, anche se con 8.4 milioni di followers (non pochi), account verificato con spunta blu, non venga adeguatamente mantenuto, e che la sua compromissione non crei danno all’immagine aziendale. Lo crea eccome. Il danno è reputazionale e non importa il numero di followers, il marchio è noto in ogni parte del mondo. Una sola ora con contenuti di questo tipo, movimenta una grande serie di opinion leaders che sono pronti a rievocare quest’incidente ogni volta ritenuto utile alla discussione, facendo girare una giostra che difficilmente rallenterà. Ancora di più se la motivazione è unicamente dipendente dalla superficialità con la quale è stato protetto questo account, niente di strano che molte persone evocheranno le immagini abusive, quando andranno a cercare l’account dell’intrattenimento per eccellenza.

Perché parlo di superficialità di protezione distogliendo l’attenzione dal “super hacker”? Perché i metodi utilizzati per finalizzare un attacco di questo tipo sono noti e li ho testati manualmente io stesso.

L’incipit di una frode su Instagram

Questo che vedete nell’immagine qua sopra è proprio come un attore malintenzionato, cerca di intingere una discussione via messaggi privati (DM), su Instagram, con la finalità di rubare le credenziali di accesso. Ovviamente non lo dirà espressamente (!), ma le scuse utilizzate sono qualcosa di veramente inverosimile da credere, eppure questa frode è una delle più utilizzate e che porta risultati anche su account di grandi dimensioni (come Disney, Unieuro, Giunti etc). L’intero scambio di messaggi, avuto con l’utente fraudolento, è stato salvato su questo post, e potete leggerlo per capire fin dove si spinge nelle richieste e quanto siamo disposti a seguire uno sconosciuto che ci implora in una chat privata.

Si tratta di screenshot che vengono richiesti alla vittima, per fare in modo che il ladro possa indirizzare bene le istruzioni da far compiere all’ignaro utente. Si chiede di accedere alle proprie impostazioni di sicurezza della app Instagram, di andare nel campo dove viene indicata la e-mail per l’accesso e di sostituire la propria e-mail con quella fornita direttamente dal malintenzionato. Viene da sé capire che chiunque ci chieda una cosa del genere, qualsiasi discorso possa venire ricamato attorno a tale richiesta, è da ignorare. È infatti impossibile che questa operazione possa farci compiere opere buone, a parte quella di regalare il nostro account a terzi.

Sarà infatti sufficiente a questo punto per l’attaccante, richiedere il recupero della password, sfruttando appunto la propria e-mail che NOI abbiamo appena modificato nelle impostazioni, e saremo estromessi completamente dall’account.

Insomma, nessuna genialità e nessuna furbizia, su questo attacco agli account Instagram (benché estremamente popolare), ma solo molta cavalcata di una grande onda di pressapochismo digitale e superficialità nella sicurezza e manutenzione aziendale, che rende tutto ciò possibile. Mentre basterebbe una qualsiasi banale app di autenticazione 2FA, associabile a qualsiasi account social, per evitare gran parte di questi problemi. A parte il fatto, importantissimo, di evitare di dar seguito a richieste di questo genere provenienti dal nulla nelle nostre chat private.