SKY risolve il buco-privacy

Nei giorni scorsi un lettore di Punto Informatico aveva segnalato una falla nel sistema di registrazione del portale di SKY Italia. Ora il problema è superato. SKY a PI: abbiamo agito subito

Roma - C'era un piccolo antipatico problema sul portalone di SKY Italia, www.skytv.it: come segnalato a Punto Informatico da Stefano S., con una semplice operazione e un po' di intuito era possibile visualizzare liberamente alcuni dati relativi ai clienti dell'operatore satellitare.

In sostanza, accedendo alla pagina di registrazione era possibile inserire un numero di "codice account" di 7 cifre fasullo, associare nel campo "codice smart card" un numero qualsiasi, ad esempio 1: a quel punto, cliccando su "continua" il sistema forniva nome, cognome ed indirizzo dell'utente.

Perché il "giochino" funzionasse, era solo necessario che il numero di 7 cifre fosse compreso nell'elenco di SKY: possedendo un numero utente era sufficiente andare a ritroso per scovare quei dati.
Punto Informatico non appena accertata l'esistenza della falla ha contattato SKY Italia che l'ha immediatamente presa in carico.

"Il disguido segnalato da Punto Informatico - ha spiegato SKY al nostro giornale - è stato originato da un bug presentatosi in occasione del completo restyling e del rinnovo dei sistemi informativi di gestione del portale, avvenuto all'inizio di settembre". "Si è trattato evidentemente - ha continuato l'azienda - di un episodio del tutto indipendente dalla nostra volontà: le procedure di registrazione e la gestione dei dati relativi agli utenti recepiscono integralmente la regolamentazione sulla tutela della Privacy. Il disguido, anche grazie alla segnalazione ricevuta dalla redazione di PI, è stato corretto con la massima tempestività".

Chi cercasse ora di sfruttare la falla si troverebbe dinanzi ad un messaggio di errore.
TAG: privacy
5 Commenti alla Notizia SKY risolve il buco-privacy
Ordina
  • Alcuni giorni fa ho voluto modificare gli estremi della carta di credito su cui addebitare il mio abbonamento mensile a SkyTV. Bella idea davvero!
    Ho acceduto pertanto con il mio account alla pagina HTTPS (con crittografia SSL, quindi) di self-service, e come indicato ho inserito i dati della mia carta di credito su cui fare l'addebito da quel momento in poi.
    Transazione effettuata, mi ha confermato la pagina web subito.

    Dopo alcune ore (veramente molto velociii!!! A bocca aperta), mi arriva all'indirizzo registrato su Sky una email di conferma dal loro servizio clienti. Ovviamente una email in chiaro, senza alcun tipo di crittografia o protezione...
    ED IN CALCE ALLA STESSA, IL TESTO INTEGRALE DEI MIEI DATI DI CARTA DI CREDITO (incluso numero, intestatario, scadenza, ecc...) ESATTAMENTE COME L'AVEVO INSERITO SULLA LORO PAGINA PROTETTA HTTPS!
    Per fortuna che mi ero ben guardato dal fornire il suffisso CVV2, almeno!

    Vedere li i dati in chiaro mi ha fatto quantomeno trasecolare. Ho chiesto immediatamente un contatto da parte del loro Responsabile della sicurezza e privacy, ma non ho a tutt'oggi ottenuto risposta.
    Cos'altro posso fare oltre a denunciare l'accaduto all'ufficio del Garante ?
    Blocco tutte le carte, nuova e vecchia ? E poi aspetto che chiamino loro ? Perplesso

    Grazie a chi vorrà darmi consigli.

    Valerio

  • Non ho capito bene: per accede bisogna conoscere in anticipo il numero della persona di cui si vogliono i dati o basta un numero qualsiasi e poi con questo si riescono ad avere i dati di tutti?

    SI' lo so che anche nel primo caso uno puo' inserire dei numeri a caso ed ottenere delle risposte.
  • Ad es io inserisco il numero 4564534

    Che succede? Sorpresa
    non+autenticato
  • ...avevo segnalato, più di un mese fa, la falla del servizio a SKY. Promisero che avrebbero agito.
    non+autenticato
  • Non so ora, ma quando ero un loro abbonato avevano un sito pensato solo per Internet Explorer, spero che anche a questo abbiano rimediato.

    Consultare la guida dei programmi con firefox era un incubo.
    non+autenticato