Wind tappa una falla antiprivacy

Il colosso delle TLC cambia la gestione delle password per l'Area Interattiva lasciando però aperta la porta all'accesso ai dati di terzi a chiunque. Punto Informatico verifica l'esistenza del buco, Wind sospende tutto e risponde a PI

Wind tappa una falla antiprivacyRoma - Wind in imbarazzo ieri per il problema riscontrato da Punto Informatico e da alcuni lettori che hanno scritto al giornale, preoccupati per quella che è apparsa subito come una falla nella gestione delle password degli account-utente, un buco sulle pagine online di Wind che esponeva e metteva a rischio i dati personali degli utenti.

Dalle verifiche effettuate da Punto Informatico, in collaborazione con il security consultant Alberto Grazi, un inatteso problema di organizzazione di login e password nel nuovo sistema di "Area Interattiva" sul sito di Wind consentiva di accedere con facilità ai dati di moltissimi utenti Wind e persino di modificarli.

I dati esposti dal sistema comprendevano nome e cognome, codice fiscale o partita Iva, luogo e data di nascita, luogo di residenza e numero di telefono.
Per verificare la situazione, Punto Informatico si è limitato a seguire le istruzioni di una email inviata da Wind ai clienti proprio in questi giorni relativa all'avvenuta fusione tra i servizi "155 online" di Infostrada e "Area Personale" di Wind in una nuova unica sezione chiamata, appunto, "Area Interattiva".

Le istruzioni spiegavano come per accedere alla nuova area i clienti registrati dovessero semplicemente anteporre al proprio login la stringa "ai." (dove AI sta per Area Interattiva) e utilizzare come prima password di accesso la stringa: "*.prime quattro lettere del login in maiuscolo".

La curiosa soluzione ideata dai tecnici Wind consentiva però potenzialmente a chiunque di accedere ai dati di qualsiasi utente Wind di cui si conoscesse il login, perché la password si poteva ricavare da quello. Questo significa, per fare un esempio, che i nomi più comuni, come francesco o giuseppe, utilizzati come login, davano accesso ad account e dati di utenti Wind (usando login come "ai.giuseppe" da cui la password "*.GIUS").

Va detto che, non appena contattata da Punto Informatico, Wind si è attivata con prontezza per risolvere il problema, nato probabilmente dalla perigliosa fantasia di qualcuno tra i tecnici che stanno concludendo l'allestimento del nuovo spazio online Wind-Infostrada. Dopo aver temporaneamente sospeso l'accesso alla nuova Area, Wind ora con un avviso consiglia ai propri utenti che desiderino entrare in quell'Area di chiamare il 158 per ottenere la prima password di accesso.

A Punto Informatico Wind ha fatto avere una nota sull'accaduto che riportiamo qui di seguito:

"Durante un upgrade funzionale a valle dell'integrazione dell'area interattiva di Wind e Infostrada è stato riscontrato un problema tecnico circoscritto ad un numero ristretto di clienti. Wind ha quindi sospeso temporaneamente il servizio e precauzionalmente "resettato" la password per questi clienti. Il servizio è stato riattivato oggi e, per maggiore sicurezza, i clienti impattati dal disservizio sono adesso invitati a chiamare il 158 per ottenere una nuova password.
Ci scusiamo comunque con quei clienti che hanno dovuto sopportare un disagio inatteso anche per noi".
TAG: italia
25 Commenti alla Notizia Wind tappa una falla antiprivacy
Ordina
  • Ho un abbonamento tutto incluso con wind infostrada come operatore unico.
    Dopo circa quindici giorni di notevole disservizio sono costretto a ripetere la denuncia di un guasto.
    Deluso dalla professionalità, efficienza, efficacia e qualità di wind in quanto il guasto non viene risolto dai ?tecnici?. Deluso dagli operatori che rispondono al numero 803155, i quali spesso e volentieri interrompono la comunicazione spontaneamente.
    Ho ricevuto due messaggi sul cellulare in data 03/02/06 con la seguente frase ? Gentile cliente è in corso la risoluzione del disservizio/problema da lei segnalato. Appena possibile le daremo un riscontro. Grazie?. ed in data 05/02/06 ?Gentile cliente è ancora in corso la risoluzione del disservizio da lei segnalato. Verrà informato non appena il problema sarà risolto. Grazie?.
    È buona norma ai fini della ?qualità? di un servizio tecnico, accertarsi che l?utente finale abbia il problema risolto.
    Sono ancora in attesa di un riscontro.
    Dopo vari giri di telefonate intraprese per iniziativa personale e dettate dal disservizio ho saputo che il guasto è stato chiuso in quanto risolto.
    Preciso che la mia linea voce dal 29/01/06 è muta sia in ricezione che in trasmissione e che se qualcuno prova a telefonarmi riceve il segnale dalla centrale di utente libero che non risponde, cioè ?sente squillare il telefono chiamato?. Mentre per quanto riguarda la connessione ad internet (adsl) non ho problemi.
    Credo che il passaparola è una forma di pubblicità molto più importante delle offerte pubblicitarie truffaldine che wind infostrada mette in atto e che nessun garante prende seri provvedimenti?
    ( come mai?)


    non+autenticato
  • ma a lungo andare son dolori.

    Per i non adetti ai lavori quello che ha combinato la wind viene indicato con il termine pezza sw.
    invece di procedere a riprogettare il database delle utenze i programmi (spendendo cifre esorbitanti specialmente se il codice e scritto male) i nostri geniali amici hanno provveduto ad applicare la nota tecnica della pezza, due o tre linee di codice al difuori di ogni canone di standardizzazione interna (che credo che abbiano) ed il gioco e fatto.
    il problema della pezza e si costa poco ma a lungo andare e deleteria, come dimostrato.
    non+autenticato
  • Gia' hai ragione... il problema di Wind e' ke a breve dovra' affrontare (non e' certo, ma cmq *molto* probabile) l' assorbimento dei clienti Blu e la dipartita di FT, a favore (probabilemnte) di e.Biscom & altre societa'.

    Con tutta questa nuova massa di clienti, sarebbe stato meglio (a maggior ragione) riprogettare le infrastrutture di base da 0, ma si vede ke gli amministratori han preferito puntare al max risparmio (forse avallati da FT, con la sua disastrosa situazione finanziaria?).
    non+autenticato
  • non so, o alla wind mi hanno cambiato la password o qualcuno è entrato a nome mio e l'ha cambiata lui eheheheh

    W la WIND!!!

    PS
    mi suggeriscono di telefonare a quegli incompetenti del 158 per sapere la password
    ahahahahahahahahahaha
    Chi ha mezza giornata da buttare via al telefono?
    non+autenticato
  • idem
    non+autenticato
  • - Scritto da: LuPiN
    > idem

    Perche' mezza giornata?
    non+autenticato
  • Giusto: dopo 15' ke aspetti come 1 pirla ti cade la linea.
    non+autenticato
  • E' UN VERO SCHIFO COME STANNO GESTENDO QUESTA COSA, LA MIA MAIL NON RIESCO A VEDERLA E VA BENE, CAPITA, MA IL MIO ID E PW SONO UTILIZZABILI DA CHIUNQUE POSSA "CRACCARE" IL MAIL SERVER E QUESTO E' INAMMISSIBILE E ANCHE ILLEGALE . CI VEDIAMO IN TRIBUNALE !
    non+autenticato
  • Mi consola il fatto di sapere che non sono il solo a non riuscire più ad accedere...
    non+autenticato
  • Ehm...
    ...
    ...
    Raga, guardate ke l' han cambiata a tutti (come scritto nell' articolo) appunto x evitare ke qualcuno, entrato senza permesso, ne avesse messa una di propria invenzione, appropriandosi cosi' dell' account.
    non+autenticato
  • Sono allibito e sconcertato dalla faciloneria con la quale i dirigenti di Wind delegano a tecnici improvvistati la gestione e l'organizzazione del portale! O chi ha inventato questa trovata è il classico commercialone in doppiopetto che non capisce nulla di internet (e che quindi non dovrebbe trovarsi lì), oppure significa che Wind assume tecnici che fino all'altro ieri avevano fatto al massimo la propria pagina personale con FrontPage per far sapere al mondo quali primi piatti preferiscono!
    non+autenticato
  • > Sono allibito e sconcertato
    condierando anche i dati personali ESPOSTI in bella vista...
    ma che sara mai...ma no uno non ha nulla da nascondere...
    fra un po mettiamo anche le foto, le impronte e un profillo completo cosi magari troviamo l'amore della vita attraverso un'algoritmo matematico che confronta le impronte...
    CHE SCHIFOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO...

    non+autenticato
  • Scusate, ma quanto letto riguardo il presunto errore dei tecnici di sicurezza WIND mi fa ridere parecchio. Si, perché mi chiedo qual'è lo stipendio di tali signori, visto che un esperto di sicurezza è una figura piuttosto ricercata e, se valida, anche molto rara. Io lavoro nel campo della IT security da circa 2 anni e mezzo. Il concetto di identificazione e autenticazione mi è molto chiaro e non sono un responsabile di sistemi informativi di una grossa azienda, mi occupo semplicemente di piani di sicurezza e simili, che a detta di molti tecnici sono il classico fumo negli occhi per un cliente. Forse chi ha avuto la geniale idea in WIND non dovrebbe più fare l'esperto di sicurezza, ma inventarsi nuove pubblicità..qui si può dire con certezza che gli mancano veramente le basi!!! Ancora scuse a tutti.
    non+autenticato
  • grande fabrizio!!!
    Forse ci conosciamo, ma è bello sentire la tua opinione su PI.
    Buon lavoro e buona giornata
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)