Chi ha bucato i server Telecom?

Roma – La sicurezza dei sistemi internet di Telecom Italia è di nuovo al centro dell'attenzione dopo che è emerso un grave bug che ha afflitto i server dell'azienda, in particolare quelli che reggono il più importante sito Telecom dedicato ai clienti, 187.it . Stando a Repubblica.it , che per prima ha dato notizia della vicenda, dei cracker sono entrati nei sistemi dell'azienda sfruttando una vulnerabilità peraltro ampiamente conosciuta nel mondo della sicurezza.

In balìa dei cracker sono finiti i dati personali di clienti Telecom: nomi e cognomi, indirizzi, email, numeri di telefono, codice fiscale e tipologia dei servizi richiesti. Tutte informazioni relative a persone che hanno ordinato e acquistato servizi su 187.it e su aliceadsl.it , spazio web di riferimento per la popolare offerta ADSL di Telecom Italia. Si parla di dati raccolti da Telecom a partire dal 2001 .

A scoprire tutto questo, come confermato ieri a Punto Informatico, è stata una società italiana che si occupa anche di sicurezza, Ants Spa , che ha spiegato di aver rilevato la falla il 10 marzo scorso e di averla segnalata a Telecom con un documento tecnico in cui spiegava di cosa si trattava. Al centro di tutto un tipo di attacco estremamente noto, SQL Injection ( qui un interessante.pdf in inglese sull'argomento) che ha permesso ad un numero imprecisato di cracker di penetrare nel database clienti collegati ai siti. Ants ha spiegato come questo tipo di attacco sia molto conosciuto nel settore e sia dovuto ad una configurazione che capita talvolta di incrociare su siti minori, perlopiù realizzati senza avere a disposizione notevoli risorse economiche.

Telecom Italia, che ha annunciato il 5 aprile la chiusura della falla e ha denunciato l'accaduto all'autorità giudiziaria nella speranza che sia possibile risalire all'identità dei cracker, non ha specificato ai dati di quanti dei propri clienti vi sia stato accesso non autorizzato ma ha comunque inteso sottolineare che “nel database oggetto degli attacchi non erano contenuti dati, ad esempio numeri di carta di credito, in grado di infliggere danni economici diretti agli utenti. L'addebito per prodotti e servizi acquistati dai nostri clienti avviene direttamente in bolletta”.

“Era una falla – hanno spiegato gli esperti di Ants a PI – che consentiva di modificare la query di selezione che estraeva i dati dal loro archivio forzando la URL, la chiamata alla pagina: questo significa che, per dire, si poteva saltare il controllo della password. Quindi con un ID valido sul sistema sarebbe stato possibile recuperare l'anagrafica di qualsiasi cliente e i servizi che questo richiedeva. Era il sistema di controllo dello stato degli ordini”.

Da quanto tempo la falla era aperta? Su questo non c'è chiarezza. Ants, da parte sua, non può che limitarsi a segnalare di averla scoperta, come detto, il 10 marzo. Telecom ha dichiarato di averla chiusa il 5 aprile. Andando nel campo delle ipotesi, dunque, è possibile che il buco esistesse da lungo tempo oppure, come Telecom sembra suggerire, sia emerso tra un aggiornamento e l'altro del software. Non sono peraltro noti i dati relativi alle aggressioni che si sarebbero verificate, dunque al numero degli attacchi subiti e in quale periodo di tempo.


Secondo Telecom le aggressioni al sito non hanno comunque prodotto danni tecnici né, sostiene l'azienda, vi sarebbero problemi segnalati dagli utenti per il possibile furto di dati.

Similmente a quanto accadde a Sky nel caso segnalato da Punto Informatico che consentiva l'accesso alle schede abbonati via internet, il problema legato alle incursioni sui server di Telecom è quello dei dati personali e del possibile loro utilizzo a fini illegali. In quel caso Sky scelse di non commentare l'accaduto, limitandosi a tappare la falla il giorno stesso della pubblicazione dell'articolo di PI.

Gli esperti di Ants hanno spiegato che per violare il sistema di Telecom era sufficiente conoscere il numero d'ordine assegnato ad ogni cliente. Poiché i numeri d'ordine erano assegnati in modo sequenziale ci voleva ben poco ad accedere ai dati di altri clienti. Secondo Ants, un programmino ad hoc avrebbe anche potuto raccogliere tutti i dati presenti nel sistema.

Va detto che nel recente passato la sicurezza dei sistemi di Telecom Italia su internet era già finita sotto i riflettori. Come rilevato su Punto Informatico nelle scorse settimane, il sistema di registrazione del portale Rosso Alice prevedeva l'invio di una email con la password in chiaro ai clienti, una evenienza perlopiù sconsigliata dagli esperti di sicurezza vista la sostanziale insicurezza delle comunicazioni email.

In attesa di ulteriori commenti da Telecom Italia, che PI ha ieri tentato di raggiungere per approfondire la questione, va detto che quanto accaduto rappresenta un'eccezione nel panorama del bug hunting nostrano, laddove vista l'incertezza del diritto in materia, gli hacker che scovano buchi di sistema talvolta non sanno come riferirli, nel timore di essere accusati di violazione. “Ben diverso – ha commentato Ants con Punto Informatico ragionando sulla questione – è quanto accade negli Stati Uniti dove una struttura terza, come il CERT, non solo analizza la documentazione inviatale ma la studia e, se la falla sussiste, la comunica agli interessati mantenendo la riservatezza sulla fonte”.