Roma – Ci voleva davvero poco perché un utente, magari per errore, accedesse sul sito di Trenitalia ai dati di altri utenti iscritti ai servizi online delle Ferrovie. Una falla di cui ha dato notizia nei giorni scorsi Altalex .
Ad essere potenzialmente vittime di questa fuga di dati fino a ieri mattina, quando la falla è stata chiusa dall’azienda, sono stati gli iscritti di Intercity Card , la “carta-fedeltà” di Trenitalia. Come spiegava Altalex a Punto Informatico, che ha a sua volta verificato l’esistenza del bug, per trovarsi con informazioni di altri utenti era sufficiente accedere con il proprio login al sistema web. Dopodiché, tornando indietro con il browser e sostituendo il proprio username con un altro (o digitando magari impropriamente il proprio ID) si accedeva senza ulteriori verifiche alla scheda di altri utenti.
“Nella scheda – scrive Altalex – erano disponibili tutti i dati personali inseriti, tra i quali email, codice fiscale ed addirittura il numero del telefono cellulare”. “Ciò è possibile per tutti gli utenti (che crediamo nell’ordine delle centinaia di migliaia) – scriveva Altalex a PI nel suo primo advisory – che si sono registrati al sito di Trenitalia S.p.A.: quasi ogni username digitata (nome proprio o di fantasia) consente di accedere ad una scheda personale, utilizzando una qualsiasi password”.
Va detto che la prima segnalazione via fax di Altalex a Trenitalia risale alle 12 del 7 novembre mentre il giorno successivo, avvertito il Garante per la privacy , questi ha spiegato di aver compiuto degli accertamenti e aver chiesto a Trenitalia quali misure intendesse prendere. Ieri mattina, alle 10, sulla pagina di accesso al servizio appariva la scritta: “Causa intervento tecnico la funzionalità di autenticazione è disabilitata sino alle ore 12:00 del giorno 9/02/2005”.
Alle 12.30, segnala ancora Altalex, la falla è stata definitivamente chiusa. “Rimane comunque singolare – scrive il portale giuridico – la gestione ed il concetto di sessione da parte di Trenitalia: “Per autenticarsi con un diverso utente è necessario prima chiudere il browser” (?!) “. “Tanto più singolare il fatto – aggiunge – che non sia previsto un logout neanche nella pagina principale, pratica a rischio specie per postazioni internet pubbliche o condivise (ad esempio un internet point): effettuando il login su www.trenitalia.com e dimenticando di chiudere il browser, magari dopo aver navigato su altre pagine, rimane comunque aperta una sessione autenticata sul PC a disposizione del successivo navigatore”. “Comunque – conclude Altalex – dopo l’agognato risultato non pare il caso di cercare il pelo nell’uovo”.
Ti potrebbe interessare
10 feb 2005