Alfonso Maruccia

Blippy e il pasticciaccio brutto delle carte

Il servizio di condivisione delle transazioni finanziarie pubblica informazioni in eccesso. Google indicizza i numeri di carte di credito degli utenti. Danni limitati, dicono i responsabili

Roma - Rappresenta l'applicazione del concetto di social networking alle transazioni finanziarie online, ma Blippy ha (almeno in qualche caso) esagerato con la condivisione delle succitate transazioni, esponendo alla pubblica piazza informazioni sensibili che pubbliche non dovrebbero mai esserlo. La startup conferma il problema, ma rassicura: investitori e utenti stiano allegri, la breccia è stata molto limitata e comunque ora non c'è più alcun rischio.

I netizen possono fare uso di Blippy per condividere con i propri "amici", alla maniera di Twitter, le ultime scorribande nell'e-commerce, fungendo quindi da catalizzazione o raccomandazione indiretta di possibili acquisti futuri. Il sito, che ha recentemente guadagnato nuova linfa finanziaria da 11,2 milioni di dollari di fondi, è stato però poco accorto nel gestire i numeri di carte di credito di qualche utente durante il periodo di beta-testing del servizio.

Almeno per quattro di questi utenti, ha fatto sapere il sito VentureBeat, il numero di carta era stato indicizzato dal crawler di Google ed era dunque facilmente conoscibile da chiunque con una semplice query con i parametri giusti sul motore di ricerca di Mountain View. La risposta di Blippy non si è fatta attendere molto, e ha sostanzialmente confermato la versione di VentureBeat aggiungendo nuovi dettagli e qualche rassicurazione sulla reale portata dell'incidente.
"Prendiamo la sicurezza molto sul serio - scrive la società - e vogliamo assicurare agli utenti di Blippy che si è trattato di un incidente isolato avvenuto molti mesi fa durante il periodo di beta testing, e non riguarda gli utenti correnti". L'incidente è stato provocato dalla condivisione, nel succitato periodo di beta, delle informazioni "grezze" sulle transazioni finanziarie inclusive della carta di credito, informazioni disponibili in un campo "nascosto" all'interno del codice HTML condiviso.

Al momento questo tipo di scambio di informazioni non è più attivo, ragion per cui - dice Blippy - nonostante la figuraccia e le preoccupazioni che l'incidente può legittimamente suscitare, nessun numero di carta di credito può più essere individuato attraverso i dati forniti dal servizio. A Google è stato chiesto di rimuovere le informazioni sensibili incriminate, e Google ha prontamente risposto in maniera positiva alla richiesta.

Insomma Blippy non è a "rischio hacker" e rappresenta ancora un buon investimento per mercanti e utenti con la fregola perenne dello shopping in Rete. Piuttosto dovrebbe continuare a preoccuparsi Amazon, specula il New York Times, del fatto che il nuovo servizio miri proprio a lucrare sui suggerimenti e i "consigli" di acquisto che hanno fatto la fortuna del retailer americano fondato da Jeff Bezos.

Alfonso Maruccia
Notizie collegate
6 Commenti alla Notizia Blippy e il pasticciaccio brutto delle carte
Ordina
  • Come con Amazon un banale incidente fa venire alla luce qualche cosa non molto pulita, ma il responsabile va avanti come se niente fosse con delle banali scuse e nessuno si preoccupa.
    Blippy non è una banca responsabile della verifica dei pagamenti e non dovrebbe catalogare le carte di credito degli utenti.
    Quelli che ancora credono che la catalogazione di tutti questi dati serva a fare pubblicità mirata sono degli ingenui.
    Nella migliore delle ipotesi le persono saranno classificate secondo i loro gusti e quanto sono disposti a spendere per ogni cosa. Navigando su internet gli verranno proposti prezzi tagliati su misura. Di buoni acquisti se ne faranno pochi perchè i venditori riusciranno sempre a spremere il massimo dei soldi possibile da ciascun cliente.
    Nella peggiore delle ipotesi invece si rischierà di essere esposti a truffe legalizzate tipo i titoli sui muti subprime
    guast
    1319
  • no, il problema é che sono state indicizzate da Google tutte e 16 le cifre della carta di credito
    MeX
    16902
  • Prova a ragionare.
    Posso anche capire che tengano questi dati in un database. Ma perchè erano disponibili in delle pagine web ? Hanno un tool web per navigare nel database ? A disposizione di chi ?
    guast
    1319
  • infatti l'errore é proprio creare una pagina che resuscita per intereo il numero di carta, aggiunto all'errore di farci arrivare lo spider!

    Se fai commercio elettronico e vuoi offrire un'esperienza d'acquisto "confortevole" DEVI avere memorizzati i numeri di carta per intero da qualche parte... la cosa grave e che ci fosse una pagina indicizzabile che mostra le 16 cifre, tutto il resto é complottismo
    MeX
    16902
  • - Scritto da: MeX
    > infatti l'errore é proprio creare una pagina che
    > resuscita per intereo il numero di carta,
    > aggiunto all'errore di farci arrivare lo
    > spider!
    >
    > Se fai commercio elettronico e vuoi offrire
    > un'esperienza d'acquisto "confortevole" DEVI
    > avere memorizzati i numeri di carta per intero da
    > qualche parte... la cosa grave e che ci fosse una
    > pagina indicizzabile che mostra le 16 cifre,
    > tutto il resto é
    > complottismo

    Sarß forse dopo una piccola sbirciata a quello che sta girando in background ci sto costruendo parecchio sopra. Perˇ te sei all'estremo opposto. Ti rifiuti di vedere pi˙ di un palmo oltre il tuo naso.
    guast
    1319
  • mah... direi di no... non mi sembra strano che avessero i numeri di carta di credito... l'errore é stato pubblicarli e farli indicizzare, avere di per se il numero di carta di credito non significa nulla
    MeX
    16902