Bucato il database BuyVip

Tutti coloro i quali in passato si sono iscritti al servizio BuyVip potrebbero veder violato il proprio account sul sito. La notizia è emersa nelle ultime ore con un consiglio immediato per tutti gli iscritti: il cambio sollecito della password a titolo precauzionale.

La natura dell’attacco non è al momento chiara, ma BuyVip avrebbe notificato la scoperta di un accesso non autorizzato al database e potenzialmente a tutti i dati a corredo degli account ivi presenti. Quel che non dovrebbe essere sfuggito è il numero delle carte di credito, il che riduce in parte la portata dell’attacco limitando alla violazione della privacy le conseguenze di quanto accaduto.

BuyVip è da un anno circa sotto la proprietà Amazon, il che distribuisce parte delle responsabilità anche al gruppo di Jeff  Bezos. Sebbene i numeri relativi al database violato non siano stati comunicati, la natura del sito è quella di un hub di sconti che proprio tramite la collezione di indirizzi email costruisce il proprio modello di business. Forte dell’esperienza degli errori commessi da altri gruppi, BuyVip ha immediatamente notificato la propria utenza dell’avvenuta violazione del database ed ha consigliato il cambio delle password per evitare che eventuali malintenzionati possano agire in modo truffaldino sugli account. Sony, dopo l’attacco al PlayStation Network, forzò il cambio delle password per costringere ogni utente all’intervento, ponendo così un ostacolo più radicale sulla strada dei cracker.

Lo scopo di questi ultimi, tuttavia, potrebbe non essere BuyVip, ma semplicemente l’utenza ivi iscritta: la raccolta di indirizzi email validi e schedati consentirebbe una vendita proficua dei dati sul mercato nero del malaffare, offrendo nuova linfa ai canali dello spam e regalando una base di lavoro utile per truffe e distribuzione di malware.