SMSCash: nuovo clamoroso buco nel database

SMSCash: nuovo clamoroso buco nel database

Confermato un nuovo buco nel sistema di gestione dei dati online del sito che consente a chiunque di visualizzare i dati degli iscritti al servizio. Era già successo l'anno scorso. Non si sa quanti utenti siano a rischio
Confermato un nuovo buco nel sistema di gestione dei dati online del sito che consente a chiunque di visualizzare i dati degli iscritti al servizio. Era già successo l'anno scorso. Non si sa quanti utenti siano a rischio


Roma – Ci risiamo. SMSCash, il servizio nato per inviare SMS a pagamento sui cellulari dei propri iscritti, che in un anno di SMS ne hanno visti davvero pochini, dispone nuovamente di un database online clamorosamente fallato. Con un semplice accorgimento, chiunque può accedere alla scheda completa di qualunque utente SMSCash.

A segnalare il buco a Punto Informatico è stato uno degli iscritti, Francesco Varricchio, che ha spiegato di essersi insospettito dopo aver ricevuto dello spam su una mailbox riservata. Uno spam inviato da qualcuno che conosceva non solo la sua email ma anche il suo nome e cognome, una eventualità che lo ha inequivocabilmente ricondotto ad SMSCash.

La cessione dei dati a terzi non è d’altra parte esclusa a priori da SMSCash , che nel proprio contratto scrive: “i dati potranno parzialmente essere dati in uso a società terze qualora le stesse dovessero essere incaricate a svolgere servizi inerenti al sistema in nome e per conto della Micro-Comm Eruopa S.p.A.”.

Eppure non è affatto detto che questa sia la strada che ha seguito lo spammatore. Perché, come ha verificato anche Punto Informatico, ci vuole purtroppo ben poco per accedere alle schede degli iscritti a SMSCash, con tutti i dati necessari per costituire un ampio database di indirizzi email e altre informazioni personali…

Sarebbe possibile, per esempio, realizzare uno script che consenta di “raggranellare” in automatico tutti i dati disponibili. Con un metodo che per motivi di riservatezza non verrà illustrato in questo articolo ma spiegato solo dopo che SMSCash avrà provveduto a tappare la falla.

Punto Informatico ha verificato l’esistenza della falla visualizzando le schede di decine di iscritti. Tutti nomi dei quali sono a disposizione, per chiunque volesse illegalmente “raccoglierli”, dati riservati come: nome, cognome, indirizzo, codice fiscale, data e luogo di nascita, stato civile, numero di telefono cellulare e indirizzo email.

Non solo. Una volta avuto accesso alle schede utenti si possono anche cambiare le impostazioni degli account.

Dalle nostre verifiche non c’è alcuna ragione per ritenere che non siano esposti a questa falla i dati di tutti gli abbonati SMSCash che, a sentire l’azienda, sono più di un milione e mezzo di persone…

Punto Informatico pubblicherà al più presto la notizia della chiusura della falla nel database di SMSCash non appena l’azienda avrà provveduto a “tapparla”. Va ricordato, comunque, che un problema del tutto simile era già stato rilevato sul database di SMSCash nel luglio dello scorso anno…

Infine va anche detto che a SMSCash si erano iscritti alcuni collaboratori di Punto Informatico nel luglio del 2000, collaboratori che fino ad oggi hanno ricevuto un massimo di 4 messaggi pubblicitari per un totale di 280 lire di compensi. Inevitabile che qualcuno si chieda se il gioco (fornire i propri dati comprensivi di numero di cellulare) valga la candela (280 lire). Una situazione che, comunque, parrebbe destinata a cambiare visto che SMSCash ha recentemente stretto un accordo commerciale con il colosso europeo del direct marketing Buongiorno.it .

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 19 set 2001
Link copiato negli appunti