Roma – Non c’è bisogno di password, nessun blocco è previsto, nessun avvertimento, nessun segnale di avvertimento, per accedere basta navigare: è uno dei più clamorosi buchi di sicurezza mai individuati nei server di un provider italiano, NoPay. Ieri mattina Punto Informatico, che ha ricevuto una segnalazione della falla da un lettore, ha verificato l’esistenza del problema e ha contattato il provider che, mentre scriviamo, non ha ancora risposto né ha coperto il buco.
L’assenza di qualsiasi protezione consente un accesso facilissimo per chiunque ad uno dei server interni del provider. In questo articolo, senza aver ancora ricevuto risposte da NoPay e notizia della correzione del bug, Punto Informatico naturalmente non informa sui dettagli dell’accesso al sistemone, pur ribadendo che non è protetto da alcuna password né altro sistema di sicurezza.
Abbiamo analizzato la situazione insieme ad un esperto di database e, rimanendo “sulle generali” per preservare la privacy degli utenti NoPay, si può affermare che il baco consentirebbe ad un eventuale aggressore, senza alcuna esperienza, di accedere al database centrale del sistema, cancellare la directory dei dati con tutti gli archivi presenti o modificarla a proprio piacimento. Si tratta di strumenti accessibili pensati per modificare l’intera configurazione del database e/o introdurre azioni “di lavoro” al suo interno. Come se non bastasse sono disponibili anche tutti i dettagli tecnici sulle macchine e i software utilizzati.
La cosa senz’altro più allarmante è però l’immediata disponibilità che viene data a chiunque acceda a quelle pagine dell’intero elenco degli iscritti a NoPay, un elenco però composto, “fortunatamente”, “solo” dal nome utente e dal codice fiscale. Più di 300mila record che possono essere modificati o cancellati con pochi clic del mouse…
Ci auguriamo di poter a breve esporre una serie di altre informazioni su questa grave falla di sicurezza ma prima sarà bene attendere che NoPay ponga rimedio alla situazione.
Ti potrebbe interessare
27 ott 2000