CartaSì spiega la falla sul suo sito

Roma – Se ne è parlato sui media nei giorni scorsi: è una falla rilevata in uno dei sistemi di gestione web di CartaSì , scoperta da un utente, Daniele Bisol, nel corso della consultazione delle pagine web della propria azienda sul sito della celebre società del credito.

Dopo aver parlato con lo stesso Bisol e per chiarire al meglio le dinamiche di quanto accaduto, in un momento davvero incandescente per le attività web delle società delle carte di credito, Punto Informatico ha rivolto alcune domande ai tecnici di CartaSì.

Punto Informatico: “È possibile quantificare il numero di imprese titolari di CartaSì che sono iscritte ai vostri servizi Web?”
CartaSì: Al portale aziende sono iscritte 20.000 imprese.

PI: Quando avete saputo del baco di cui ha parlato Bisol?
C: Fin dall’inizio: a marzo abbiamo avviato una serie di lavori di manutenzione sui portali e queste attività hanno spesso ripercussioni sui livelli di sicurezza. Ne siamo perfettamente consapevoli ed è per questo che abbiamo tenuto da subito la situazione sotto stretto monitoraggio.

PI: CartaSi ha spiegato che il buco c’è stato ma è durato per un periodo di tempo limitato, dallo scorso marzo, e sarebbe legato ad un update del sito, una falla che veniva monitorata. È stato detto che tenevate d’occhio le mosse di Bisol, che pero’ sostiene di aver visto il buco una volta mesi fa e un’altra volta quando ha parlato con Repubblica.it . Com’è andata esattamente?
C: Il primo accesso è avvenuto il 25 maggio; successivamente, vi sono stati altri tre accessi, a distanza di tempo, sempre alle solite quattro carte. Stiamo quindi parlando, in tutto, di quattro accessi, non di due.
Nonostante le attività di manutenzione fossero ormai completate, abbiamo volutamente consentito quel tipo di operatività per accertare le intenzioni dell’utente e verificare se si trattasse di un caso fortuito (cosa che sembrava strana, visto che era un comportamento ripetuto nel tempo) o di un tentativo di frode. Le quattro carte visualizzate dall’utente – da noi subito messe sotto controllo – non risultavano però compromesse.

PI: Cambiare la URL e accedere ad altre pagine di un sito non è certo illegale: non c’era alcuna password o ostacolo nell’accedere alle pagine degli altri utenti… Visionare tutte le pagine cambiando la URL non può certo essere considerato un illecito, in assenza di password di protezione o avvisi sulla riservatezza dei servizi ecc. Quello che invece qualcuno potrebbe essere indotto a ritenere è che da parte di CartaSì vi sia stata una negligente gestione dei dati dei propri utenti, in quanto quei dati erano visibili anche da chi non ne era titolare
C: Cambiare la URL di un sito non è certamente illegale e, se l’utente avesse fatto questo, non avrebbe potuto accedere a dati di terze persone. Il Signor Bisol ha invece compiuto operazioni (che non staremo a dettagliare) diverse e più complesse, accedendo ripetutamente (quattro volte in tutto) a dati non suoi: un comportamento tipico dei truffatori.

Il fatto che l’utente non ci avesse contattati dopo il primo accesso, come avrebbe invece fatto un comune cittadino particolarmente attento al tema della sicurezza, ci aveva fatto presumere che vi fossero delle seconde finalità. La nostra sensazione di rafforzava sempre più man mano che gli accessi si ripetevano, a distanza di giorni. Tuttavia – come abbiamo detto – non rilevando utilizzi illeciti dei numeri di carta messi sotto osservazione, stavamo aspettando una mossa qualsiasi per intervenire. Poi la mossa c’è stata, ed è stata quella di segnalare tutto alla stampa a distanza di un mese dal primo accesso. A quel punto, le intenzioni erano chiare ed abbiamo chiuso il caso.

PI: Il fatto che nessuno a parte Bisol secondo il vostro monitoraggio abbia avuto accesso in quel modo a quei dati è un colpo di fortuna? In fondo se Bisol ci è arrivato è solo perché voleva accertarsi, da utente esperto, che nessuno cambiando solo un numero nella URL avrebbe potuto accedere ai dati che lo riguardano.
C: Per un normale utente non sarebbe stato possibile accedere a quei dati: bisognava compiere precise operazioni con un preciso scopo. Dopo di che il colpo di fortuna era sicuramente necessario per digitare casualmente degli ID validi.

PI: Il responsabile del Risk Management di CartaSi ha ammesso che era on-line un sito in fase di manutenzione, e che erano al corrente che ci potessero essere dei bug di sicurezza. Non era il caso di avvertire gli utenti che alcuni bug avrebbero potuto compromettere la sicurezza del sito?
C: Quando i rischi aumentano è importante averne consapevolezza per poterli controllare. A che cosa sarebbe servito, allora, allarmare gli utenti quando la situazione era perfettamente sotto controllo? E poi, perché diffondere la notizia stimolando i tentativi di accesso da parte di eventuali truffatori?

PI: Sempre secondo il vostro responsabile, per cambiare un id nel querystring, ossia alterare un numero nella URL del browser, ci vogliono cognizioni di programmazione. Questo cosa sottointende? Cambiare l’id in quel modo è un’operazione tipica di moltissimi utenti anche solo per navigare tra dati e pagine dei siti web
C: Se la stringa dell’url è visibile, è prassi comune che un utente, conoscendo le coordinate del sito di destinazione, modifichi direttamente la querystring. Tuttavia, nel nostro caso, la pagina visualizzata non conteneva la stringa che l’utente ha modificato. Egli ha quindi effettuato ripetutamente operazioni note solo a chi ha specifiche conoscenze di tecnologia web e ha avuto accesso casualmente ad informazioni riservate.

PI: Cosa possiamo dire ora ai clienti CartaSì per rassicurarli sul fatto che non c’è alcun problema sul sito in materia di trattamento dei dati personali o sicurezza dei sistemi?
C: I dati personali dei nostri clienti sono trattati in assoluta conformità alla normativa vigente. Per quanto riguarda la sicurezza, CartaSi utilizza le migliori tecnologie e metodologie disponibili e investe molto per garantire il miglioramento continuo indispensabile per un’efficace gestione del rischio. In altre parole, i Titolari di CartaSi non hanno nulla da temere e godono della più ampia tutela a fronte di qualsiasi evento anomalo. Anche perché non abbassiamo mai il “livello di guardia”.

Teniamo inoltre a sottolineare che, in caso di utilizzo illecito della carta di credito, i Titolari di CartaSi, di norma, non ricevono neppure l’addebito e vengono contattati dal nostro ufficio sicurezza entro pochi minuti. Disponiamo infatti di strumenti di prevenzione e di rilevazione delle frodi che ci permettono di monitorare i comportamenti di spesa delle carte e di rilevare immediatamente le eventuali anomalie. Nei pochissimi casi in cui l’addebito finisce sull’estratto conto del cliente, il rimborso è immediato”.

Riportandogli il tutto, Bisol, scopritore della falla, ha voluto solo sottolineare che “la pagina in questione era in una popup, ovviamente senza la barra degli indirizzi. Quindi la “complessa operazione” di cui parlano per vedere l’Url è selezionare dal menu di Internet Explorer la voce “File > Nuovo > Finestra”, (CTRL+N per i più… esperti)”.

a cura di Paolo De Andreis