Incuriosito e leggermente incredulo che qualcuno possa commettere uno scivolone del genere, vado alla home page del sito, clicco su Login e mi registro.
Il sito è perentorio: la password deve essere lunga almeno sei caratteri e deve contenere almeno un numero. Perché la sicurezza è una cosa seria. Va bene: immetto una password conforme.
Ricevo dal sito la mail che mi invita a cliccare su un link o immettere un codice per confermare e attivare il mio account. Faccio quanto richiesto, e mi scollego.
L’account funziona: posso entrare e vedere il mio profilo. Posso scegliere prodotti e metterli nel carrello.
Faccio logout, rientro facendo login, scrivo il mio indirizzo di mail e lettere a caso nel campo della password, ed ecco che mi ritrovo nel mio account.
Ma dai, sarà un errore mio. Magari il sito usa un cookie per fare a meno di digitare la password. Però la password me l’ha chiesta.
Provo con un altro browser, che non ho mai usato per fare login a quel sito. Scrivo il mio indirizzo di mail, scrivo lettere a caso nel campo della password.... e sono dentro di nuovo.
Provo a questo punto su un altro computer. Vado alla home page, clicco su Login, immetto il mio indirizzo di mail e tre caratteri random nel campo della password, violando quindi anche la regola dei sei caratteri minimi obbligatori... e sono di nuovo nel mio account.
Posso vedere i dati del mio profilo: nome, cognome, indirizzo di casa, numero di telefono. Se avessi fatto ordini, probabilmente potrei vedere anche quelli.
Ho trovato sul sito l’indirizzo del responsabile della protezione dei dati (DPO) e gli ho scritto oggi quanto segue:
Buongiorno,
sono Paolo Attivissimo, giornalista informatico. Vi segnalo che è possibile entrare nel vostro sito di e-commerce [omissis] digitando qualunque cosa al posto della password, anche semplicemente tre lettere a caso.
Questo consente a chiunque di accedere ai dati personali dei vostri clienti semplicemente conoscendone l'indirizzo di mail.
Ritengo che questo configuri una grave violazione della sicurezza e della privacy dei vostri clienti, con potenziali ripercussioni in termini di GDPR.
Vi invio questa segnalazione affinché possiate rimediare. Qualora dovessero trascorrere 15 giorni di calendario dalla segnalazione senza un vostro riscontro, riterrò assolto il mio dovere di "responsible disclosure" e mi riserverò a quel punto l'opzione di pubblicare i dettagli la notizia nell'interesse dei vostri clienti.
Ho pubblicato un articolo preliminare, senza citare il vostro nome, presso Disinformatico.info.
Cordiali saluti
Paolo Attivissimo
Lugano, Svizzera
Vediamo che succede.
Commenti
Posta un commento