Privacy: occhio alla falla in SMSCash

Si possono associare nomi e cognomi a entrate realizzate in proprio o tramite i propri referral nonché conoscere i numeri dei telefonini. E ci vogliono pochi secondi per cancellare l'account di chiunque

Privacy: occhio alla falla in SMSCashRoma - Ci sono ben due modi, alla portata di chiunque possegga un browser web, per entrare abusivamente nel sistemone di SMSCash e prendere visione dell'account di qualsiasi utente registrato. Una "falla" della quale Punto Informatico ha informato nei giorni scorsi il sito che, però, mentre scriviamo ancora non ha risposto. Il buco di sicurezza mette a rischio la privacy dei 300mila utenti che in queste settimane hanno sottoposto a SMSCash la propria iscrizione.

C'è anche un terzo modo per "interagire" dall'esterno con il sistema, un modo che consente di cancellare dal database l'account di qualsiasi utente conoscendone il numero di iscrizione. Un numero che è inserito nei link che gli utenti diffondono online per trovare nuovi iscritti per SMSCash e, dunque, facilmente reperibile su newsgroup, siti personali, mailing list e via dicendo.

Con lo stesso numero, o sfruttando una numerazione progressiva, si può anche entrare nell'account di qualsiasi utente.
"Il sistema è realizzato in linguaggio PHP, un linguaggio utilizzato per disegnare pagine dinamiche su Unix e la falla - hanno scritto gli esperti di SecurityInfos - permette, tramite la digitazione di una URL, di leggere nome e cognome dell'utente registrato, il tipo di pagamento richiesto e quanto ha totalizzato da quando è iscritto al servizio". E ' anche possibile conoscere il nome, cognome e numero di cellulare degli utenti che si sono iscritti ad SMSCash tramite un altro utente. L'account di quest'ultimo può infatti essere violato e al suo interno si trovano anche i dati degli iscritti che lui ha "presentato" al servizio.

Come si ricorderà, SMSCash chiede ai propri utenti di accettare messaggi SMS pubblicitari sui cellulari in cambio di qualche lira per ciascun messaggio. Altre piccole percentuali arrivano agli iscritti su quanto totalizzato dagli utenti che hanno "presentato" al servizio.
TAG: privacy