Un articolo su Macworld oggi fa luce sul Towson Hack, una misteriosa truffa che coinvolge il credito del negozio iTunes rubato che risale al novembre dello scorso anno.
Punti salienti di Macworld un thread trafficato sul Forum di supporto Apple che racconta una storia dopo l'altra del credito della carta regalo iTunes rubato, inizialmente relativo a un indirizzo di fatturazione cambiato a Towson, nel Maryland.
La misteriosa truffa ha una lunga storia con molte variabili in gioco, e la cosa più inquietante è che l'hack di Towson è ancora in vigore oggi. Esatto, dopo quasi un anno, Apple non è stata in grado di fermare un exploit che potrebbe benissimo essere l'hack di iTunes più avanzato della storia.
Se ricordi, a gennaio, a enorme scandalo è stato scoperto che coinvolge la vendita illegale di oltre 50.000 account iTunes violati in Cina. Mentre quella storia era enorme in termini di esposizione delle vulnerabilità di iTunes, Towson Hack è ancora più subdolo. Come mai? Perché nessuno sa come funziona davvero.
Macworld prepara il terreno, citando la prima storia di un thread di supporto Apple che ora ha oltre 700 post:
"Il poster ha affermato che, a sua insaputa o consenso, qualcuno ha speso più di $ 50 del suo credito iTunes Store su app per iPhone. L'utente non aveva una carta di credito collegata al suo account; tutti i misteriosi acquisti hanno tratto dal suo credito del negozio. Oh, e stereocourier ha anche notato che vari dettagli personali sono stati modificati per suo conto; in particolare, il suo indirizzo di casa è stato sostituito con un indirizzo che non ha riconosciuto a Towson, nel Maryland.
Questo tipo di attività è continuato dal novembre dello scorso anno, con l'indirizzo di Towson, nel Maryland, che è cambiato improvvisamente in altre località casuali in tutto il paese nel gennaio del 2011.
In sostanza, i clienti di iTunes avrebbero notato che il credito del loro negozio iTunes era stato utilizzato senza il loro permesso su app di cui non avevano mai sentito parlare, molte delle quali si sono rivelate inviate all'App Store da Cina. Le app acquistate sono state ricondotte a una piccola manciata di sviluppatori, ma l'hack di Towson è rimasto anonimo in origine.
Le prove indicavano un piccolo gruppo di sviluppatori/hacker responsabili del Towson Hack. Creando app fasulle e di riempimento che sono in gran parte non rintracciabili, gli hacker in qualche modo ottengono l'accesso al credito iTunes e accumulano acquisti di il loro app. Usando solo il credito della carta regalo iTunes, rimani fuori dal microscopio della società della carta di credito e finisci anche per volare sotto il radar di Apple. Brillante.
Il credito iTunes verrebbe drenato anche con gli acquisti in-app da app oscure. Molti acquisti in-app provenivano effettivamente dall'app KingdomConquest di Sega. Una grande azienda come Sega sarebbe coinvolta in uno scandalo del genere? Macworld non la pensa così:
“Anche se il modus operandi rimane lo stesso, sembra chiaro che la variante KingdomConquest del Towson Hack abbia una motivazione diversa. Una spiegazione plausibile: gli hacker che hanno familiarità con la tecnica stanno vendendo l'accesso agli account iTunes compromessi con credito del negozio da bruciare. Forse se sei disposto a pagare $ 10 a un hacker, ti darà accesso a un account violato con $ 50 di credito e forse il gioco di Sega si dimostra piuttosto popolare tra le persone disposte a fare quell'accordo.
Mentre Apple ha rimborsato più vittime del Towson Hack, l'azienda di Cupertino deve ancora offrire una vera dichiarazione su come, o perché, la truffa ha continuato a sfruttare i clienti di iTunes per quasi un anno.
Una spaventosa rivisitazione dell'hack di Towson in azione coinvolge Craig Williams che si fa addebitare $ 100 sul suo account Paypal dopo che il suo credito iTunes è stato compromesso. Un'altra storia mostra quanto possa essere insidioso l'hack di Towson, con Anne Robson che chiede ad Apple di bloccare il suo account iTunes fino a ulteriori indagini. Così facendo, Di più i soldi sono stati prelevati. Una volta che un account è bloccato, dovrebbe essere tecnicamente impossibile toccare i fondi dell'account in alcun modo.
"Il caso di Robson potrebbe indicare che i ne'er-do-wells dietro il Towson Hack in qualche modo si imbrogliano con gli account iTunes tramite metodi così insidiosi da aggirare i blocchi di Apple. Oppure, il suo caso potrebbe essere semplicemente un colpo di fortuna, un blocco applicato erroneamente o un valore anomalo".
Qualunque sia la ragione della continua efficacia dell'hack di Towson contro i clienti di iTunes, Apple deve affrontare il problema immediatamente. Questo è semplicemente brutto.
Sei una vittima dell'hack di Towson?