Mi è stato segnalato un sito di commercio online italiano che ha definitivamente
risolto il problema degli utenti che dimenticano le password usando una
soluzione decisamente originale: non controlla la password.
Incuriosito e leggermente incredulo che qualcuno possa commettere uno
scivolone del genere, vado alla home page del sito, clicco su Login e
mi registro.
Il sito è perentorio: la password deve essere lunga almeno sei caratteri e
deve contenere almeno un numero. Perché la sicurezza è una cosa seria. Va
bene: immetto una password conforme.
Ricevo dal sito la mail che mi invita a cliccare su un link o immettere un
codice per confermare e attivare il mio account. Faccio quanto richiesto, e mi
scollego.
L’account funziona: posso entrare e vedere il mio profilo. Posso scegliere
prodotti e metterli nel carrello.
Faccio logout, rientro facendo login, scrivo il mio indirizzo di mail e
lettere a caso nel campo della password, ed ecco che mi ritrovo nel mio
account.
Ma dai, sarà un errore mio. Magari il sito usa un cookie per fare a
meno di digitare la password. Però la password me l’ha chiesta.
Provo con un altro browser, che non ho mai usato per fare login a quel sito.
Scrivo il mio indirizzo di mail, scrivo lettere a caso nel campo della
password…. e sono dentro di nuovo.
Provo a questo punto su un altro computer. Vado alla home page, clicco su
Login, immetto il mio indirizzo di mail e tre caratteri random
nel campo della password, violando quindi anche la regola dei sei caratteri
minimi obbligatori… e sono di nuovo nel mio account.
Posso vedere i dati del mio profilo: nome, cognome, indirizzo di casa, numero
di telefono. Se avessi fatto ordini, probabilmente potrei vedere anche quelli.
Ho trovato sul sito l’indirizzo del responsabile della protezione dei dati
(DPO) e gli ho scritto oggi quanto segue:
Buongiorno,
sono Paolo Attivissimo, giornalista informatico. Vi
segnalo che è possibile entrare nel vostro sito di e-commerce
[omissis] digitando qualunque cosa al posto della password, anche
semplicemente tre lettere a caso.Questo consente a chiunque di
accedere ai dati personali dei vostri clienti semplicemente conoscendone
l’indirizzo di mail.Ritengo che questo configuri una grave
violazione della sicurezza e della privacy dei vostri clienti, con potenziali
ripercussioni in termini di GDPR.Vi invio questa segnalazione
affinché possiate rimediare. Qualora dovessero trascorrere 15 giorni di
calendario dalla segnalazione senza un vostro riscontro, riterrò assolto il
mio dovere di “responsible disclosure” e mi riserverò a quel punto l’opzione
di pubblicare i dettagli la notizia nell’interesse dei vostri clienti.Ho
pubblicato un articolo preliminare, senza citare il vostro nome, presso
Disinformatico.info.Cordiali saluti
Paolo Attivissimo
Lugano,
Svizzera
Vediamo che succede.
2021/02/21 19:50. Stando alle prime indicazioni, il problema riguarda
gli account creati di recente; gli utenti che hanno account sul sito da
parecchio tempo segnalano che per loro le password sbagliate vengono
rifiutate.
2021/02/21 20:30. Ora il sito non accetta più qualunque cosa al posto
della password, ma in compenso non accetta neanche la password
effettiva dell’account che ho creato. Ho cliccato su
“Ho dimenticato la password” per resettarla e mi è arrivato
correttamente via mail il link per resettarla. L’ho cambiata e ora non mi
accetta neppure questa.
2021/02/22 16:20. Oggi ho ricevuto una mail dal DPO che mi ha
ringraziato per la segnalazione, che è stata presa in carico dall’azienda.
Sono in corso verifiche e l’accesso, mi dice sempre il DPO, è ora possibile
soltanto immettendo nome utente e relativa password. Dice inoltre che mi
aggiornerà sui risultati delle verifiche. Ho fatto di nuovo il reset della
password e ora entro correttamente soltanto con la mia password effettiva.
2021/02/22 20:05. Su richiesta dell’azienda, ho modificato l’immagine
che rappresenta il tentativo di login.