Aruba tappa una falla antiprivacy

Il provider aretino ieri ha chiuso un buco nel database anagrafico che metteva a repentaglio la privacy dei propri utenti
Il provider aretino ieri ha chiuso un buco nel database anagrafico che metteva a repentaglio la privacy dei propri utenti


Roma – Nella giornata di ieri alcuni messaggi circolati in rete hanno divulgato un metodo semplicissimo per ottenere, dal database degli utenti del noto provider Aruba , i dati di abbonati al servizio di hosting. Secondo quanto segnalato da queste e-mail, e confermato anche da alcune segnalazioni giunte alla redazione di Punto Informatico, era possibile, inserendo una stringa di codice SQL al posto di login e password, ottenere i dati personali di altri utenti.

Nell’esempio riportato dai messaggi circolanti sulla rete, veniva fra l’altro fornito il numero di un utente reale: la conseguenza è che i dati personali di questa persona – fra cui nominativo, telefono, e-mail e indirizzo – sono divenuti di dominio pubblico.

“Si tratta di un’ingenuità di chi ha realizzato il sistema di autenticazione”, avverte un programmatore avezzo all’utilizzo di database. Infatti, la possibilità di inserire gli apici ” ‘ ” all’interno del campo Password, e rendere dunque possibile il passaggio di comandi SQL, è una superficialità nella quale i servizi che registrano dati personali non dovrebbero scadere.

Nel primo pomeriggio di ieri i tecnici di Aruba hanno apparentemente risolto il problema dopo essere stati avvertiti di quanto accaduto. Fino a questo momento, però, non è pervenuto alcun annuncio ufficiale sulla falla.

Infine, in una delle lettere pervenute alla nostra redazione, un lettore afferma che nel recente passato aveva già avvisato Aruba di “un grave difetto di programmazione nel modo in cui viene interrogato il database degli utenti per verificare login e password”.

Link copiato negli appunti

Ti potrebbe interessare

29 05 2002
Link copiato negli appunti