Roma – Nella giornata di ieri alcuni messaggi circolati in rete hanno divulgato un metodo semplicissimo per ottenere, dal database degli utenti del noto provider Aruba , i dati di abbonati al servizio di hosting. Secondo quanto segnalato da queste e-mail, e confermato anche da alcune segnalazioni giunte alla redazione di Punto Informatico, era possibile, inserendo una stringa di codice SQL al posto di login e password, ottenere i dati personali di altri utenti.
Nell’esempio riportato dai messaggi circolanti sulla rete, veniva fra l’altro fornito il numero di un utente reale: la conseguenza è che i dati personali di questa persona – fra cui nominativo, telefono, e-mail e indirizzo – sono divenuti di dominio pubblico.
“Si tratta di un’ingenuità di chi ha realizzato il sistema di autenticazione”, avverte un programmatore avezzo all’utilizzo di database. Infatti, la possibilità di inserire gli apici ” ‘ ” all’interno del campo Password, e rendere dunque possibile il passaggio di comandi SQL, è una superficialità nella quale i servizi che registrano dati personali non dovrebbero scadere.
Nel primo pomeriggio di ieri i tecnici di Aruba hanno apparentemente risolto il problema dopo essere stati avvertiti di quanto accaduto. Fino a questo momento, però, non è pervenuto alcun annuncio ufficiale sulla falla.
Infine, in una delle lettere pervenute alla nostra redazione, un lettore afferma che nel recente passato aveva già avvisato Aruba di “un grave difetto di programmazione nel modo in cui viene interrogato il database degli utenti per verificare login e password”.
Ti potrebbe interessare
30 mag 2002