2019/02/22

Azienda italiana lascia esposto online l’intero archivio clienti, ignora gli avvisi e il GDPR

Nota: alcuni dati sono stati intenzionalmente alterati per tutelare gli utenti coinvolti. Ultimo aggiornamento: 2019/02/22 20:20.

Un’azienda italiana con sede legale a Milano che gestisce online servizi di prenotazione per ristoranti ha messo online quello che sembra essere l’intero archivio dei propri dati, con 140.000 utenti e 280.000 ordini, a disposizione di chiunque voglia scaricarselo, alterarlo o semplicemente cancellarlo, ma l’azienda ignora chi la avvisa del problema.

Sono disponibili nomi, cognomi, indirizzi di mail, hash e salt (presumo delle password), ID Facebook, numeri di telefono, importi in denaro e altro ancora, insieme a istruzioni poco sensibili ma surreali come “pizze ben cotte e tagliate perfavore” lasciate da qualcuno in Corso San Gottardo a Milano.

Salvo che si tratti di un database di prova con dati fittizi, questa è una chiarissima violazione delle regole di protezione dei dati, che andrebbe segnalata pubblicamente ai clienti oltre che rimediata tecnicamente prima che succedano disastri. Ma ho avvisato l’azienda ieri (21/2) via mail al suo apposito indirizzo privacy@[omissis].it e anche all’indirizzo di contatto info@[omissis].it, allegando schermate per far capire che non sto scherzando e qualificandomi come giornalista, e finora non ho ricevuto alcuna risposta. So inoltre che altri l’hanno già avvisata invano.

Eppure, secondo la policy pubblica dell’azienda, il trattamento dei dati viene effettuato “in modo da garantire la riservatezza e sicurezza dei dati stessi”.

Questa garanzia sembra decisamente fragile. Usando una tecnica estremamente semplice, eseguibile da chiunque abbia un minimo di competenza informatica e senza richiedere alcuna immissione di password o altro, il database dei clienti risulta liberamente ispezionabile e quasi sicuramente alterabile e cancellabile con un paio di comandi.

Tutto quello che serve per accedere ai dati è un normale browser e l’indirizzo IP del server usato dall’azienda. Tutto quello che serve per trovare questo indirizzo IP è un account gratuito su uno dei tanti motori di ricerca specializzati. Il server risulta situato in Irlanda e gestito da Amazon.


Se non si tratta appunto di un database di prova, il server è piuttosto mal configurato per custodirlo correttamente:


Staremo a vedere. Nel frattempo, con la stessa tecnica elementare ho trovato 665 altri database altrettanto vulnerabili in giro per il mondo. Di questi, due sono in Svizzera, 38 sono in Francia, 50 in Germania e 23 nel Regno Unito; non ce n’è nessuno in Italia.

Se vi stavate chiedendo come fanno i criminali informatici a trovare i bersagli per i loro attacchi e a sferrarli con così tanta efficacia, ora avete la risposta. Niente, a parte l’etica, mi impedirebbe di cancellare questi database esposti alla mercé del primo che passa. E la cosa, sinceramente, mi dà i brividi.


2019/02/22 20:20


La mail che ho scritto a privacy@[omissis].it è tornata indietro con questo avviso:

Consegna non completata
Si è verificato un problema temporaneo durante la consegna del messaggio a privacy@[omissis].it. Gmail tenterà di inviarlo nuovamente per altre 46 ore. Ti avviseremo nel caso in cui sia impossibile completare la consegna.
Risposta:

DNS Error: 3614845 DNS type 'mx' lookup of [omissis].it responded with code SERVFAIL


2019/03/09


La vicenda ha un seguito.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili