Wind tappa una falla antiprivacy

Il colosso delle TLC cambia la gestione delle password per l'Area Interattiva lasciando però aperta la porta all'accesso ai dati di terzi a chiunque. Punto Informatico verifica l'esistenza del buco, Wind sospende tutto e risponde a PI
Il colosso delle TLC cambia la gestione delle password per l'Area Interattiva lasciando però aperta la porta all'accesso ai dati di terzi a chiunque. Punto Informatico verifica l'esistenza del buco, Wind sospende tutto e risponde a PI


Roma – Wind in imbarazzo ieri per il problema riscontrato da Punto Informatico e da alcuni lettori che hanno scritto al giornale, preoccupati per quella che è apparsa subito come una falla nella gestione delle password degli account-utente, un buco sulle pagine online di Wind che esponeva e metteva a rischio i dati personali degli utenti.

Dalle verifiche effettuate da Punto Informatico, in collaborazione con il security consultant Alberto Grazi, un inatteso problema di organizzazione di login e password nel nuovo sistema di “Area Interattiva” sul sito di Wind consentiva di accedere con facilità ai dati di moltissimi utenti Wind e persino di modificarli.

I dati esposti dal sistema comprendevano nome e cognome, codice fiscale o partita Iva, luogo e data di nascita, luogo di residenza e numero di telefono.

Per verificare la situazione, Punto Informatico si è limitato a seguire le istruzioni di una email inviata da Wind ai clienti proprio in questi giorni relativa all’avvenuta fusione tra i servizi “155 online” di Infostrada e “Area Personale” di Wind in una nuova unica sezione chiamata, appunto, “Area Interattiva”.

Le istruzioni spiegavano come per accedere alla nuova area i clienti registrati dovessero semplicemente anteporre al proprio login la stringa “ai.” (dove AI sta per Area Interattiva) e utilizzare come prima password di accesso la stringa: “*.prime quattro lettere del login in maiuscolo”.

La curiosa soluzione ideata dai tecnici Wind consentiva però potenzialmente a chiunque di accedere ai dati di qualsiasi utente Wind di cui si conoscesse il login, perché la password si poteva ricavare da quello. Questo significa, per fare un esempio, che i nomi più comuni, come francesco o giuseppe, utilizzati come login, davano accesso ad account e dati di utenti Wind (usando login come “ai.giuseppe” da cui la password “*.GIUS”).

Va detto che, non appena contattata da Punto Informatico, Wind si è attivata con prontezza per risolvere il problema, nato probabilmente dalla perigliosa fantasia di qualcuno tra i tecnici che stanno concludendo l’allestimento del nuovo spazio online Wind-Infostrada. Dopo aver temporaneamente sospeso l’accesso alla nuova Area, Wind ora con un avviso consiglia ai propri utenti che desiderino entrare in quell’Area di chiamare il 158 per ottenere la prima password di accesso.

A Punto Informatico Wind ha fatto avere una nota sull’accaduto che riportiamo qui di seguito:

“Durante un upgrade funzionale a valle dell’integrazione dell’area interattiva di Wind e Infostrada è stato riscontrato un problema tecnico circoscritto ad un numero ristretto di clienti. Wind ha quindi sospeso temporaneamente il servizio e precauzionalmente “resettato” la password per questi clienti. Il servizio è stato riattivato oggi e, per maggiore sicurezza, i clienti impattati dal disservizio sono adesso invitati a chiamare il 158 per ottenere una nuova password.
Ci scusiamo comunque con quei clienti che hanno dovuto sopportare un disagio inatteso anche per noi”.

Link copiato negli appunti

Ti potrebbe interessare

30 05 2002
Link copiato negli appunti