Aruba tappa una falla antiprivacy

Il provider aretino ieri ha chiuso un buco nel database anagrafico che metteva a repentaglio la privacy dei propri utenti

Roma - Nella giornata di ieri alcuni messaggi circolati in rete hanno divulgato un metodo semplicissimo per ottenere, dal database degli utenti del noto provider Aruba, i dati di abbonati al servizio di hosting. Secondo quanto segnalato da queste e-mail, e confermato anche da alcune segnalazioni giunte alla redazione di Punto Informatico, era possibile, inserendo una stringa di codice SQL al posto di login e password, ottenere i dati personali di altri utenti.

Nell'esempio riportato dai messaggi circolanti sulla rete, veniva fra l'altro fornito il numero di un utente reale: la conseguenza è che i dati personali di questa persona - fra cui nominativo, telefono, e-mail e indirizzo - sono divenuti di dominio pubblico.

"Si tratta di un'ingenuità di chi ha realizzato il sistema di autenticazione", avverte un programmatore avezzo all'utilizzo di database. Infatti, la possibilità di inserire gli apici " ' " all'interno del campo Password, e rendere dunque possibile il passaggio di comandi SQL, è una superficialità nella quale i servizi che registrano dati personali non dovrebbero scadere.
Nel primo pomeriggio di ieri i tecnici di Aruba hanno apparentemente risolto il problema dopo essere stati avvertiti di quanto accaduto. Fino a questo momento, però, non è pervenuto alcun annuncio ufficiale sulla falla.

Infine, in una delle lettere pervenute alla nostra redazione, un lettore afferma che nel recente passato aveva già avvisato Aruba di "un grave difetto di programmazione nel modo in cui viene interrogato il database degli utenti per verificare login e password".
TAG: privacy
12 Commenti alla Notizia Aruba tappa una falla antiprivacy
Ordina
  • Buongiorno,
    scrivo per segnalare non solo un enorme disservizio cui sono incappato rivolgendomi ad aruba, ma anche (peggio) il fatto che nonostante numerose e mail e telefonate per chiedere spiegazioni o semplicemente per parlare con qualcuno, non ho mai avuto uno straccio di risposta ne sono mai riuscito a parlare con nessuno.
    Parlo di registrazione domini: dopo aver verificato sul loro sito la disponibilità di un certo dominio, l'ho registrato ed ho effettuato un pagamento in c/c postale, inviando poi un fax con la prova di pagamento.
    Nel giro di pochissimi minuti (solo in questo caso molto solleciti, come vedremo) ho ricevuto una mail nella quale mi si invitava a rispedire il fax perchè non si vedeva bene il timbro postale, cosa che ho fatto.
    Dopo un paio di giorni mi arriva un'altra e mail nella quale aruba si dichiara spiacente del fatto che quel dominio (che sul sito risultava libero) non era registrabile in quanto intestato già ad altro utente. Mi si dice che non è possibile la restituzione del denaro versato e che posso scegliere un altro dominio (che non mi serve).
    Verifico quindi la registrazione del dominio in questione ed esso risulta registrato nel 1998 e poi rinnovato !!!!!
    Chiedo dunque con numerose e mail e telefonate qualche spiegazione (perchè risultava libero?) ma nessuno mi ha mai degnato di una risposta.
    Naturalmente ho tutte le e mail che comprovano quanto sostengo, compresa quella in cui mi si conferma la registrazione del dominio in questione.
    Complimenti ad Aruba soprattutto per rispodere ai propri clienti che chiedono spiegazioni e chiarimenti su situazioni poco chiare.

    non+autenticato
  • Mi serve un server.

    L'offerta di Aruba è economicamente molto conveniente, anche se hanno la grave limitazione che non fanno backup, neanche a pagamento; mI pare una scelta folle, l'ho messa in conto ma nonstante questo l'offerta mi pare ancora conveniente.

    Qualcuno ne sa qualcosa in più? Mi consigliate o sconsigliate di prendere il servizio?


    grazie
    non+autenticato


  • - Scritto da: destrasinistra
    > L'offerta di Aruba è economicamente molto
    > conveniente, anche se hanno la grave
    > limitazione che non fanno backup, neanche a
    > pagamento; mI pare una scelta folle, l'ho
    > messa in conto ma nonstante questo l'offerta
    > mi pare ancora conveniente.
    >
    > Qualcuno ne sa qualcosa in più? Mi
    > consigliate o sconsigliate di prendere il
    > servizio?

    te lo sconsiglio vivamente. I servizi che offre aruba sono poco professionali, anche se costano poco...
    non+autenticato
  • Vi posso dire in base alla mia personale esperienza con Aruba che:
    1) offrono un servizio pari a quanto si paga: non affidabile, discontinuo e senza alcuna assistenza.
    2) se non avete pretese commerciali e se volete usufruire dei loro servizi solo per giocare vanno bene.
    3) a causa di loro disservizi abbiamo avuto delle perdite sia in termini economici sia d'immagine.
    Concludo dicendo che non si può credere di ricevere un servizio che altri offrono a prezzi molto più alti e pretendere di ricevere la stessa qualità. Non illudetevi.
    non+autenticato
  • Si potrebbe rivoltare la questione. Ovvero: quanti sono gli stro#zi fi##i di pu####na in giro per la rete, che alla prima occasione di una falla di sicurezza non esitano a diffondere in giro i dati personali di altri provenienti da tali banche dati, e tutto questo solo per puro divertimento o per astio verso il mondo?

    A mio parere pochi.

    Io infatti, ad esempio, se venissi a conoscenza di dati personali che non mi riguardano, non solo non li divulgherei (ne li userei a mio vantaggio), ma non esiterei un momento ad avvertire chi li ha in custodia, onde permettergli di risolvere il problema al meglio. E questo semplicemente perche' mi ritengo una persona civile, che rispetta la netiquette, e che non ha nulla a che spartire con chi si comporta in maniera illegale, o meglio, immorale.

    In altre parole, a mio parere i problemi di sicurezza su internet esistono ed esisteranno sempre, a qualsiasi livello. Le macchine non sono perfette. Il problema non puo' quindi essere gravato tutto e completamente su chi li ha in custodia con mezzi elettronici, ma anche in chi, una volta avutone possesso, in maniera piu' o meno casuale, in aniera piu' o meno indebita, ne fa un uso assolutamente illegale.

    E' sempre la solita storia. Se qualcuno viene accoltellato, la colpa di chi e'? Della coltelleria che ha venduto il coltello all'accoltellatore, o dell'accoltellatore che ne ha fatto un uso improprio?

    Il mio domino e' su Aruba. Qualcuno potrebbe avere la mia password. Ma questo secondo me potrebbe avvenire con qualunque provider, in misura minore o maggiore, certo, ma non e' un fatto di probabilita', semmai di conoscenza delle tecniche. Di conseguenza io non cambio provider, e se lo faccio ne cerco uno allo stesso prezzo, o addirittura piu' basso (ma non gratis, eheh), e con perlomeno lo stesso numero di servizi, forum incluso.
    Se questo qualcuno, in possesso della mia password, vuole arrecarmi danno, be' che lo faccia. Si accomodi. Se cio' capitera', be', io non daro' la colpa ad Aruba, ma alla rete nel suo complesso, e quindi faro' di tutta un'erba un fascio. E mi daro all'ippica, con tanti saluti non solo ad Aruba, ma anche a tutti i providers della rete.

    Ciaò!
    non+autenticato
  • Da circa due mesi a questa parte ricevo nella
    mia mailbox e-mail provenienti da Aruba e riguardanti registrazioni di domini e di attivazioni di account utente. Ci sono login, password, numeri di telefono, indirizzi di questi "poveri" utenti Aruba.

    Io sono stato, per un solo mese, utente ADSL Aruba, molto tempo fa, percui Aruba ha tutti i miei dati tra cui l'e-mail, che chissa' come mai, e' finita tra i destinatari di quelle e-mail.

    non+autenticato
  • gia' solo il fatto che passino utente e password in chiaro nell'url denota che sono dei cialtroni che se ne sbattono della sicurezza dei loro utenti !!

    BASTARDI !!
    non+autenticato
  • Sono d'accordo. Dei cialtroni, incopetenti, ma pero' io ci sono abbonato e pagavo una nullita' fino a poco tempo fa.
    Ora pago na cifra per avere nulla in piu', anzi in meno, dagli altri operatori.
    Chi sa come disdire ?
    Il contratto si rinnova in automatico da solo ?
    Chi sa se bisogna inviare una raccomandata e a che indirizzo ?
    Sul sito non spiegano na mazza e non vorrei incappare un'altro anno.
    Thz.
    non+autenticato
  • mi avevano rubato in non so quale modo uid e pwd per usare la flat.
    Telefonando ad aruba e senza nemmeno qualificarmi mi hanno detto il telefono da cui avevo fatto gli ultimi collegamenti e chiamando al tizio ho risolto.

    Figuriamoci la sicurezza e la privacyTriste
    non+autenticato
  • Vuoi disdisti ?
    Da cosa ?

    Io ero abbonato ADSL e mi sono disdetto senza problemi.

    Ora a luglio mi scade il dominio presso di loro e passo su tiscali.
    ho gia' tutto la documentazione, se vuoi ti posso aiutare per questi due casi.

    se invece vuoi disdirti da altro, chiedi...
    non+autenticato
  • A quanto ho cpaito allora se non premo rinnova abbonamento sul loro sito, la mia adsl cessera' d'esistere e io non avro' nessun contratto aperto con loro.
    giusto ?
    Se qualcuno ha dei moduli gia' compilati puo' gentilmente mandarli a: compy2000@interfree.it .
    Grazie.
    non+autenticato

  • - Scritto da: Lozio
    > Chi sa come disdire ?
    > Il contratto si rinnova in automatico da
    > solo ?
    > Chi sa se bisogna inviare una raccomandata e
    > a che indirizzo ?
    > Sul sito non spiegano na mazza e non vorrei
    > incappare un'altro anno.
    > Thz.

    All'indirizzo http://hosting.aruba.it (che tu dovresti ben conoscere visto che e' da li' che sei passato quando hai registrato il dominio) e' ben visibile il pulsante "Rinnova un dominio". Il che significa che il dominio NON si rinnova in automatico, ma cessa di essere attivo alla scadenza naturale del contratto e deve essere rinnovato ogni volta da te. In altre parole, se non paghi la quota annuale per tempo, non lo rinnovano. Occhio, quindi, perche' se te ne dimentichi, il tuo dominio se lo becca qualcun'altro, come stava per succedere qualche tempo fa alla Microsoft con Hotmail.com (il dipendente che se ne doveva occupare, fra l'altro, pare sia stato licenziato)! Occhiolino)

    Se vuoi trasferire il tuo dominio da un altra parte, devi farti dare le relative istruzioni dal NUOVO provider che lo ospitera'. Esattamente come, a suo tempo, hai fatto con Aruba, quando lo hai attivato presso di loro.
    Quindi, consulta il loro sito.
    non+autenticato