Decine di migliaia di account per iTunes, pienamente funzionanti e con numero di carta di credito registrato, sono in vendita su Taobao.com, un sito cinese simile per concezione a eBay ma con una utenza prevalentemente asiatica. A rivelare il caso è il giornale, anche questo cinese ma di lingua inglese Global Times, che dedica all’inquietante fenomeno un servizio dal quale emergono molti dettagli.
I circa 50mila account in vendita hanno un costo di 200 Yuan (circa 25 euro) e ciascuno dei quali dà accesso, così dicono i venditori, ad acquisti fino a cinque volte superiori al costo, questo grazie al fatto che l’account è accompagnato dal rispettivo numero di carta di credito. Unica raccomandazione fornita dai pirati ai disonesti acquirenti è quella di “fare la spesa” entro 24 ore, il margine di sicurezza oltre al quale il legittimo titolare della carta di credito ha la probabilità di accorgersi che qualche cosa non va con gli acquisti addebitati sul suo conto.
Come gli hackers siano venuti in possesso dei numeri di carta di credito e degli account è un mistero. Il giornalista che ha realizzato l’inchiesta ha solo potuto verificare che effettivamente pagando il dovuto si accede ad un account iTunes registrato con numero di carta di credito, ma la domanda su come il pirata abbia avuto quelle informazioni non ha avuto risposta. Le possibilità sono molte: si va dal semplice uso del phishing a meccanismi più sofisticati, come trojan e keyloggers per catturare i numeri di carta di credito che poi possono essere usati per registrare un account. Si può anche ipotizzare un fenomeno di hack ai danni di Apple stessa, ma un’operazione così massiccia sarebbe venuta sicuramente alla luce. In passato per altro quando sono emersi casi di acquisti indebiti su App Store, Apple ha negato di avere avuto attacchi informatici e per proteggere i suoi clienti ha dato un giro di vite alle politiche sulle password e sugli acquisti da iTunes.
L’agenzia AFP ha interpellato Taobao per avere una dichiarazione su quanto intende fare per fermare questo commercio che colpisce essenzialmente vittime occidentali. La risposta è stata sconcertante: «Non ci assumiamo responsabilità legale per quelle che viene messo in vendita né possiamo garantire sull’autenticità dei prodotti. Facciamo tutti gli sforzi ragionevoli possibili e prendiamo le misure necessarie per proteggere i diritti dei clienti, ma no possiamo operare senza ricevere una formare richiesta di rimozione degli annunci».
