Ma il problema forse più cogente riguardava il recupero della password, per la quale il sistema chiede il codice utente assegnato al cliente al momento dell’iscrizione. Infatti, a ogni richiesta di password tramite suddetto codice, il sistema restituiva in chiaro il codice fiscale associato.
Di per sé potrebbe sembrare un problema minore, dal momento che per eseguire questa procedura occorre conoscere in partenza il codice del cliente. Tuttavia, questi sono composti da stringhe di numeri da otto cifre. Era dunque facile comporre stringhe di numeri casuali comprese tra un milione e 19999999, estraendo il codice fiscale associato a ogni combinazione corretta, come Wired ha potuto verificare.
“Cinque anni fa scoprivo che una funzionalità della piattaforma web di Findomestic consentiva di stabilire se al codice fiscale di un soggetto fosse abbinato un finanziamento o una richiesta di finanziamento”, scrive su Linkedin Lorenzo Romani, a cui va la paternità della scoperta: “A un lustro di distanza siamo al punto di partenza”. Il riferimento è a una simile denuncia fatta sempre da Romani e anche all’epoca riportata da Wired, in seguito alla quale Findomestic chiarì come il meccanismo fosse progettato per “facilitare l’onboarding degli utenti”.
Il problema fu comunque risolto. Ma nel caso di Findomestic si limitava al fatto che fosse possibile verificare se un dato codice fiscale era associato a un finanziamento. Come detto, la vulnerabilità scoperta sul sito di Agos avrebbe permesso, al contrario, di elencare codici utente casuali, svelando l’identità dei clienti della finanziaria.
Perché questo è un problema
In un quotidiano ripetersi di truffe e raggiri, qualunque informazione in rete porta l’acqua al mulino di chi vuole approfittarsene. Se un truffatore avesse sfruttato questo meccanismo, avrebbe potuto facilmente individuare bersagli fragili dei quali avrebbe a quel punto conosciuto sia i dati personali (rappresentati nel codice fiscale) sia il fatto che avevano sottoscritto dei finanziamenti con Agos. Con tanto di codice utente – un dato verosimilmente noto solo all’intestatario del credito e all’azienda che lo eroga – chiunque avrebbe potuto costruire una campagna di truffe ai danni del più sprovveduto, spacciandosi a sua volta per un operatore della società di credito. Fortuna vuole che ad accorgersene sia stato un ethical hacker, termine che identifica normalmente quegli esperti informatici che preferiscono rivelare le vulnerabilità piuttosto che trarne un vantaggio personale, anche se nel caso di falle nei sistemi è sempre difficile accertare che nessuno se ne fosse accorto prima, magari trattenendo per sé l’informazione.
Fonte : Wired
