Roma – Con un piccolo trucco era possibile ottenere i nominativi e gli indirizzi e-mail degli utenti registrati alla sezione ludica del sito Clio-Nokia.it : in quella sezione, chiamata Word Contest , è possibile giocare ad alcuni giochi in Flash e sfidare ai punti altri utenti. A scoprire il problema è stato un lettore di Punto Informatico, Krypta, che è riuscito ad aggirare il log-in del gioco inserendo nei campi “nickname” e “password” pochi comandi SQL.
Utilizzando una tecnica nota come “SQL injection”, era dunque possibile autenticarsi al gioco offerto da Renault con l’identità di un altro utente, accedendo così al profilo di quest’ultimo. Successivamente al log-in, sul PC veniva registrato un cookie che, oltre ai dati in chiaro dell’iscrizione, conteneva un numero identificativo (ID) unico: modificando l’ID, e ricaricando il sito, si poteva accedere al Word Contest con l’identità di un altro utente e, di conseguenza, carpirne nominativo, e-mail, password e, se inserito (il campo è opzionale), il numero di telefono. Pur se con molta pazienza, dunque, un malintenzionato avrebbe potuto rubare i dati di tutti gli utenti. Visto il richiamo del Contest e i grossi nomi coinvolti i numeri in gioco sono evidentemente piuttosto elevati.
La società Saatchi&Saatchi, responsabile della realizzazione concettuale, creativa e grafica del sito per Renault, ha comunicato ieri a PI che il problema è stato risolto – e in tempi rapidissimi – dai tecnici di Vianet, l’azienda che ha sviluppato per conto di Saatchi il gioco Word Contest e il relativo meccanismo di registrazione.
“Vista l’estrema sensibilità che sentiamo nei confronti dei problemi di privacy, abbiamo attivato Vianet immediatamente allo scopo di risolvere il problema nel più breve tempo possibile”, ha spiegato a PI Alessandro Piersimoni, group account director – interactive di Saatchi&Saatchi.
“Ora è stato aggiunto un doppio controllo contro gli attacchi SQL injection anche nelle pagine ASP: oltre a limitare il tipo di caratteri inseriti nella maschera Flash ai soli alfanumerici, viene fatto un controllo sugli eventuali apici, raddoppiandoli se presenti e rendendo così vane stringhe formattate come nell’esempio riportato da Punto Informatico”, hanno spiegato i tecnici di Vianet. “Entro venerdì verranno inoltre intraprese ulteriori azioni, tra cui la ridenominazione dei file ASP contenenti query che necessitano di parametri inseriti dall’utente in modo che il loro nome non sia riconducibile alla loro funzione, e l’aggiunta di parametri inviati dal front-end Flash in modo che il back-end ASP processi le richieste solo se fatte dall’interfaccia Flash. Inoltre tutte le informazioni contenute nel cookie vengono ora crittografate con chiave a 128 bit (prima la criptazione era limitata alle informazioni che venivano inviate via e-mail agli utenti)”.
Il sito Clio-Nokia.it è stato lanciato all’inizio di quest’anno per promuovere un omonimo modello di auto venduto da Renault.
Ti potrebbe interessare
26 nov 2004