Azienda italiana lascia esposto online l'intero archivio clienti

Ignorando gli avvisi e il GDPR.



[ZEUS News - www.zeusnews.it - 24-02-2019]

pizze

Nota: alcuni dati sono stati intenzionalmente alterati per tutelare gli utenti coinvolti.

Un'azienda italiana con sede legale a Milano che gestisce online servizi di prenotazione per ristoranti ha messo online quello che sembra essere l'intero archivio dei propri dati, con 140.000 utenti e 280.000 ordini, a disposizione di chiunque voglia scaricarselo, alterarlo o semplicemente cancellarlo, ma l'azienda ignora chi la avvisa del problema.

Sono disponibili nomi, cognomi, indirizzi di mail, hash e salt (presumo delle password), ID Facebook, numeri di telefono, importi in denaro e altro ancora, insieme a istruzioni poco sensibili ma surreali come "pizze ben cotte e tagliate perfavore" lasciate da qualcuno in Corso San Gottardo a Milano.

Salvo che si tratti di un database di prova con dati fittizi, questa è una chiarissima violazione delle regole di protezione dei dati, che andrebbe segnalata pubblicamente ai clienti oltre che rimediata tecnicamente prima che succedano disastri.

Ma ho avvisato l'azienda ieri (21/2) via mail al suo apposito indirizzo privacy@[omissis].it eanche all'indirizzo di contatto info@[omissis].it, allegando schermate per far capire che non sto scherzando e qualificandomi come giornalista, e finora non ho ricevuto alcuna risposta. So inoltre che altri l'hanno già avvisata invano.

Eppure, secondo la policy pubblica dell'azienda, il trattamento dei dati viene effettuato "in modo da garantire la riservatezza e sicurezza dei dati stessi".

Sondaggio
Fai uso del pagamento contactless?
S, lo trovo molto comodo.
Lascio scegliere all'esercente.
Non so cosa sia.
No, le mie carte non sono abilitate.
No, non mi fido

Mostra i risultati (730 voti)
Leggi i commenti (8)

Questa garanzia sembra decisamente fragile. Usando una tecnica estremamente semplice, eseguibile da chiunque abbia un minimo di competenza informatica e senza richiedere alcuna immissione di password o altro, il database dei clienti risulta liberamente ispezionabile e quasi sicuramente alterabile e cancellabile con un paio di comandi.

Tutto quello che serve per accedere ai dati è un normale browser e l'indirizzo IP del server usato dall'azienda. Tutto quello che serve per trovare questo indirizzo IP è un account gratuito su uno dei tanti motori di ricerca specializzati. Il server risulta situato in Irlanda e gestito da Amazon.

pizze2

Se non si tratta appunto di un database di prova, il server è piuttosto mal configurato per custodirlo correttamente:

pizze3

Staremo a vedere. Nel frattempo, con la stessa tecnica elementare ho trovato 665 altri database altrettanto vulnerabili in giro per il mondo. Di questi, due sono in Svizzera, 38 sono in Francia, 50 in Germania e 23 nel Regno Unito; non ce n'è nessuno in Italia.

Se vi stavate chiedendo come fanno i criminali informatici a trovare i bersagli per i loro attacchi e a sferrarli con così tanta efficacia, ora avete la risposta. Niente, a parte l'etica, mi impedirebbe di cancellare questi database esposti alla mercé del primo che passa. E la cosa, sinceramente, mi dà i brividi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quando acquisti un elettrodomestico per la casa, valuti soprattutto...
che il CONSUMO energetico non sia elevato.
che lo SPAZIO occupato non sia eccessivo.
che mi faccia risparmiare TEMPO.
che il COSTO di acquisto sia basso.

Mostra i risultati (1981 voti)
Marzo 2019
I 15 marchi italiani più noti al mondo
Otto consigli sul backup per non perdere il lavoro di una vita
PrimeOS riporta in vita i vecchi PC con un sistema basato su Android
WhatsApp in crisi, Telegram guadagna milioni di nuovi utenti
I portatili HP rischiano di prendere fuoco per colpa della batteria
La rete e il mercato dei guardoni
Effetto Iliad: Vodafone dichiara 1.130 esuberi
Google: C'è una falla in Windows 7, passate a Windows 10
Intelligenza artificiale genera volti, appartamenti, manga. E gattini
Falla in Word permette di aggirare i sistemi di sicurezza
Facebook: tutti possono trovarvi dal numero di telefono, anche nascosto
USB 4, velocità sino a 40 Gbit/s e tutti i benefici di Thunderbolt
Da Western Digital la microSD da 1 Tbyte più veloce del mondo
Febbraio 2019
A proposito di quell'intelligenza artificiale di OpenAI troppo pericolosa da pubblicare
Swatch contro Samsung: Ha copiato i nostri orologi
Tutti gli Arretrati


web metrics