Incuriosito e leggermente incredulo che qualcuno possa commettere uno scivolone del genere, vado alla home page del sito, clicco su Login e mi registro.
Il sito è perentorio: la password deve essere lunga almeno sei caratteri e deve contenere almeno un numero. Perché la sicurezza è una cosa seria. Va bene: immetto una password conforme.
Ricevo dal sito la mail che mi invita a cliccare su un link o immettere un codice per confermare e attivare il mio account. Faccio quanto richiesto, e mi scollego.
L’account funziona: posso entrare e vedere il mio profilo. Posso scegliere prodotti e metterli nel carrello.
Faccio logout, rientro facendo login, scrivo il mio indirizzo di mail e lettere a caso nel campo della password, ed ecco che mi ritrovo nel mio account.
Ma dai, sarà un errore mio. Magari il sito usa un cookie per fare a meno di digitare la password. Però la password me l’ha chiesta.
Provo con un altro browser, che non ho mai usato per fare login a quel sito. Scrivo il mio indirizzo di mail, scrivo lettere a caso nel campo della password.... e sono dentro di nuovo.
Provo a questo punto su un altro computer. Vado alla home page, clicco su Login, immetto il mio indirizzo di mail e tre caratteri random nel campo della password, violando quindi anche la regola dei sei caratteri minimi obbligatori... e sono di nuovo nel mio account.
Posso vedere i dati del mio profilo: nome, cognome, indirizzo di casa, numero di telefono. Se avessi fatto ordini, probabilmente potrei vedere anche quelli.
Ho trovato sul sito l’indirizzo del responsabile della protezione dei dati (DPO) e gli ho scritto oggi quanto segue:
Buongiorno,
sono Paolo Attivissimo, giornalista informatico. Vi segnalo che è possibile entrare nel vostro sito di e-commerce [omissis] digitando qualunque cosa al posto della password, anche semplicemente tre lettere a caso.
Questo consente a chiunque di accedere ai dati personali dei vostri clienti semplicemente conoscendone l'indirizzo di mail.
Ritengo che questo configuri una grave violazione della sicurezza e della privacy dei vostri clienti, con potenziali ripercussioni in termini di GDPR.
Vi invio questa segnalazione affinché possiate rimediare. Qualora dovessero trascorrere 15 giorni di calendario dalla segnalazione senza un vostro riscontro, riterrò assolto il mio dovere di "responsible disclosure" e mi riserverò a quel punto l'opzione di pubblicare i dettagli la notizia nell'interesse dei vostri clienti.
Ho pubblicato un articolo preliminare, senza citare il vostro nome, presso Disinformatico.info.
Cordiali saluti
Paolo Attivissimo
Lugano, Svizzera
Vediamo che succede.
2021/02/21 19:50. Stando alle prime indicazioni, il problema riguarda gli account creati di recente; gli utenti che hanno account sul sito da parecchio tempo segnalano che per loro le password sbagliate vengono rifiutate.
2021/02/21 20:30. Ora il sito non accetta più qualunque cosa al posto della password, ma in compenso non accetta neanche la password effettiva dell’account che ho creato. Ho cliccato su “Ho dimenticato la password” per resettarla e mi è arrivato correttamente via mail il link per resettarla. L’ho cambiata e ora non mi accetta neppure questa.
2021/02/22 16:20. Oggi ho ricevuto una mail dal DPO che mi ha ringraziato per la segnalazione, che è stata presa in carico dall’azienda. Sono in corso verifiche e l’accesso, mi dice sempre il DPO, è ora possibile soltanto immettendo nome utente e relativa password. Dice inoltre che mi aggiornerà sui risultati delle verifiche. Ho fatto di nuovo il reset della password e ora entro correttamente soltanto con la mia password effettiva.
2021/02/22 20:05. Su richiesta dell’azienda, ho modificato l’immagine che rappresenta il tentativo di login.
Nessun commento:
Posta un commento