QR code per la pagina originale

Falla chiusa nel sito 187.it

Il sito 187 di Telecom Italia è rimasto per alcuni giorni vulnerabile ad un attacco di SQL Injection. A rischio la privacy degli utenti ma non i dati delle carte di credito

,

Una SQL Injection, un banale errore di programmazione delle pagine Web. Così i dati dei clienti del 187 di Telecom Italia sono rimasti per alcuni giorni virtualmente accessibili da chiunque avesse voluto sfruttare quell’errore. Nome e cognome, codice fiscale, indirizzi E-mail, numero di telefono: tutto era a portata di mano, anche di una mano non esperta.

Come riportato da Repubblica.it, e confermato ad HTML.it da un tecnico della Ants SpA, la società che ha avvisato Telecom Italia dell’errore, almeno dal 10 marzo e sino al 5 aprile, il sito Web buy.187.it gestito da Telecom Italia poteva mostrare, se navigato da “mani esperte”, i dati degli utenti conservati nei propri archivi dal 2001.

Telecom Italia ha confermato a Repubblica.it l’errore attribuendolo a una «transizione del sistema». Nelle banche dati accessibili non erano conservati dati «in grado di infliggere danni economici diretti agli utenti», come ad esempio numeri di carta di credito. I dati cui si poteva accedere attraverso l’errore erano dati anagrafici e lo stato degli ordinativi.

La tecnica utilizzata per sfruttare l’errore è nota come SQL Injection. Per mezzo di questa tecnica, ampiamente nota anche a persone non esperte, è possibile inviare all’applicazione che gestisce la comunicazione tra sito web e banca dati alcuni comandi non previsti dallo sviluppatore. L’errore potrebbe, a seconda della struttura del database, portare anche a anche modificare, alterare o cancellare i dati presenti nelle banche dati.