Azienda italiana lascia esposto online l'intero archivio clienti

Ignorando gli avvisi e il GDPR.



[ZEUS News - www.zeusnews.it - 24-02-2019]

pizze

Nota: alcuni dati sono stati intenzionalmente alterati per tutelare gli utenti coinvolti.

Un'azienda italiana con sede legale a Milano che gestisce online servizi di prenotazione per ristoranti ha messo online quello che sembra essere l'intero archivio dei propri dati, con 140.000 utenti e 280.000 ordini, a disposizione di chiunque voglia scaricarselo, alterarlo o semplicemente cancellarlo, ma l'azienda ignora chi la avvisa del problema.

Sono disponibili nomi, cognomi, indirizzi di mail, hash e salt (presumo delle password), ID Facebook, numeri di telefono, importi in denaro e altro ancora, insieme a istruzioni poco sensibili ma surreali come "pizze ben cotte e tagliate perfavore" lasciate da qualcuno in Corso San Gottardo a Milano.

Salvo che si tratti di un database di prova con dati fittizi, questa è una chiarissima violazione delle regole di protezione dei dati, che andrebbe segnalata pubblicamente ai clienti oltre che rimediata tecnicamente prima che succedano disastri.

Ma ho avvisato l'azienda ieri (21/2) via mail al suo apposito indirizzo privacy@[omissis].it eanche all'indirizzo di contatto info@[omissis].it, allegando schermate per far capire che non sto scherzando e qualificandomi come giornalista, e finora non ho ricevuto alcuna risposta. So inoltre che altri l'hanno già avvisata invano.

Eppure, secondo la policy pubblica dell'azienda, il trattamento dei dati viene effettuato "in modo da garantire la riservatezza e sicurezza dei dati stessi".

Sondaggio
Fai uso del pagamento contactless?
Sì, lo trovo molto comodo.
Lascio scegliere all'esercente.
Non so cosa sia.
No, le mie carte non sono abilitate.
No, non mi fido

Mostra i risultati (1242 voti)
Leggi i commenti (15)

Questa garanzia sembra decisamente fragile. Usando una tecnica estremamente semplice, eseguibile da chiunque abbia un minimo di competenza informatica e senza richiedere alcuna immissione di password o altro, il database dei clienti risulta liberamente ispezionabile e quasi sicuramente alterabile e cancellabile con un paio di comandi.

Tutto quello che serve per accedere ai dati è un normale browser e l'indirizzo IP del server usato dall'azienda. Tutto quello che serve per trovare questo indirizzo IP è un account gratuito su uno dei tanti motori di ricerca specializzati. Il server risulta situato in Irlanda e gestito da Amazon.

pizze2

Se non si tratta appunto di un database di prova, il server è piuttosto mal configurato per custodirlo correttamente:

pizze3

Staremo a vedere. Nel frattempo, con la stessa tecnica elementare ho trovato 665 altri database altrettanto vulnerabili in giro per il mondo. Di questi, due sono in Svizzera, 38 sono in Francia, 50 in Germania e 23 nel Regno Unito; non ce n'è nessuno in Italia.

Se vi stavate chiedendo come fanno i criminali informatici a trovare i bersagli per i loro attacchi e a sferrarli con così tanta efficacia, ora avete la risposta. Niente, a parte l'etica, mi impedirebbe di cancellare questi database esposti alla mercé del primo che passa. E la cosa, sinceramente, mi dà i brividi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Sei mai stato escluso da una bacheca Facebook di un amico?
No, mai.
Sì, da un mio ex partner.
Sì, da una donna o da un uomo che ho corteggiato insistentemente.
Sì, per le mie idee in politica.
Sì, per un commento relativo al calcio.
Sì, per una critica.
Sì, senza un motivo apparente.
Non uso Facebook.

Mostra i risultati (1635 voti)
Maggio 2019
Gmail, una pagina segreta tiene traccia di tutti gli acquisti fatti
Sedicenne si uccide dopo sondaggio su Instagram
Falla in WhatsApp: basta una telefonata per ritrovarsi uno spyware sul telefono
Il primo processore completamente inviolabile
Il ransomware che ti regala l'antivirus (mentre cripta i file)
Windows 10 disporrà di un vero kernel Linux
Apple beccata a barare sulla durata delle batterie (ma non è la sola)
Ricaricate lo smartphone di notte? La batteria durerà meno
Programmatore autodidatta risolve puzzle del MIT con 15 anni d'anticipo
Aprile 2019
Windows 10, aumentano i requisiti minimi di sistema
Mark Zuckerberg: entro cinque anni avremo due Facebook
Windows, si allunga la lista di antivirus che bloccano il Pc
Aspen, il browser per navigare in sicurezza secondo Avast
Ex studente distrugge i computer della scuola con un USB killer
Galaxy Fold, lo schermo pieghevole si rompe quasi subito
Tutti gli Arretrati


web metrics