Due ricercatori americani, nei giorni scorsi, hanno pubblicato un post sul loro blog nel quale raccontano la facilità sconvolgente con la quale sono riusciti a hackerare l’elettronica di bordo di una Subaru accedendo, da remoto, a funzioni e dati che hanno loro consegnato, di fatto, il controllo assoluto sulla macchina, per fortuna di proprietà della madre di uno dei due.

La sintesi del post e della scoperta dei due è questa: chiunque conoscendo semplicemente il cognome e il codice postale, l’indirizzo e-mail, il numero di telefono o la targa del proprietario di una Subaru avrebbe potuto accenderne o spegnerne il motore, recuperarne la posizione attuale e passata nell’ultimo anno con una precisione di 5 metri, accedere ai contatti di emergenza inseriti nell’auto dal proprietario nonché i dati della fatturazione dei servizi a eventualmente attivati sul veicolo, la cronologia delle chiamate di assistenza e l’elenco dei proprietari precedenti del veicolo oltre a tanto di più.

Non male per suggerire a chiunque a bordo di una macchina del genere di non illudersi neppure per un istante di esser da solo alla guida. L’unico aspetto positivo di una vicenda che fa rabbrividire è che i due ricercatori, in maniera etica, prima di pubblicare la storia, hanno avvertito la casa costruttrice della vulnerabilità identificata, consentendole di intervenire per risolvere il problema.
Ma le note positive si fermano qui.
Le altre sono tutte diversamente stonate.

A cominciare dalla domanda che correttamente i ricercatori si pongono e pongono: che bisogno c’è, per una casa costruttrice di automobili – anche perché il sospetto è che il fenomeno non sia circoscritto alla sola Subaru – di conservare così a lungo dati tanto puntuali sulla posizione di tutti i veicoli prodotti.
Le risposte che i giornalisti americani che si sono sin qui occupati della vicenda si sono sentiti dare dalla Subaru non appaiono convincenti: l’esigenza di garantire ai proprietari un’assistenza adeguata anche grazie a un’immediata localizzazione del veicolo, infatti, se giustifica la raccolta dei dati, giustifica di meno o, forse, niente affatto, la loro conservazione indiscriminata, a prescindere cioè dalla circostanza che si siano o meno verificati incidenti che abbiano richiesto l’attivazione del servizio di assistenza.
Nella puntata di qualche giorno fa raccontavo della causa che lo Stato del Texas ha promosso contro una compagnia assicurativa che sembrerebbe aver acquistato, tra l’altro proprio da alcune società costruttrici di autovetture i dati di geolocalizzazione insieme a una montagna di altre informazioni.
Uno più uno, non fa sempre due ma il dubbio inevitabilmente sorge.

Ma a prescindere da scenari di questo genere, il punto è che i dati in questione sono capaci di raccontare la vita di una persona con una profondità straordinaria, sino a arrivare alle circostanze più intime come eventuali patologie che le impongano di frequentare periodicamente centri di cura specializzati, relazioni personali e professionali che, magari, si vorrebbe, legittimamente, restassero private e tanto tanto di più.
Le regole sulla privacy, almeno da questa parte dell’oceano e, in realtà, il semplice buon senso, ancora prima, suggerirebbero, forse, tempi conservazione molto ma molto più brevi almeno di informazioni così tanto puntuali.

Quella dei due ricercatori non è una gran bella scoperta ma, naturalmente, meglio saperlo che vivere nell’antica illusione di considerare la nostra macchina come un’alcova privata e impenetrabile.
Per chi volesse approfondire, nel testo che accompagna il podcast, il link al blogpost integrale: https://samcurry.net/hacking-s…

Buona giornata e goodmorning privacy!