Il Touring Club Italiano pubblica login e password di accesso a un suo sito

Ultimo aggiornamento: 2021/01/24 16:45. 

Poi la gente si chiede come mai i siti vengono “hackerati” così spesso e immaginano chissà quali acrobazie hanno fatto i criminali per violarli. Magari, in realtà, hanno semplicemente trovato con Google un documento PDF messo online che contiene login e password.

È quello che è successo al Touring Club Italiano qualche giorno fa. Sul suo sito www.bandierearancioni.it c’era un documento (qui), in formato PDF, che conteneva dettagliate istruzioni su come accedere all’area riservata del sito e quali credenziali inserire.

Ho segnalato la cosa pubblicamente al Touring Club Italiano:

Uhm... @TouringClub, pubblicare su Internet un PDF contenente le istruzioni e la password per accedere alle aree riservate di un vostro sito non è molto prudente. Spero che le abbiate cambiate.

Possiamo parlarne?

— Paolo Attivissimo (@disinformatico) January 21, 2021

Ho ricevuto risposta:

@disinformatico grazie per la segnalazione. Il nostro ufficio tecnico sta risolvendo il problema. Un saluto cordiale.

— TouringClubItaliano (@TouringClub) January 22, 2021

Il documento è stato rimosso, per cui ne posso parlare pubblicamente.

Il problema è che quella login e quella password sono pubblicati da vari altri siti, non solo in PDF ma esplicitamente su pagine web pubbliche, e sono facilmente reperibili in Google. Per cui è sostanzialmente inutile che io li mascheri. Posso solo sperare che nel frattempo i responsabili abbiano cambiato login e password (ovviamente non ho potuto verificarlo). I documenti sembrano risalire ad alcuni anni fa, per cui c’è qualche speranza. Ma va considerato che all’epoca quella password era sicuramente valida ed era pubblicata.

 

 

In ogni caso, questa vicenda è un buon promemoria del fatto che le password non si mettono mai online in cartelle pubblicamente accessibili contando sul fatto che tanto nessuno ne conosce il link, perché se sono pubblicamente accessibili verranno esplorate dai motori di ricerca e il link verrà pubblicato.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.