L’azienda per cui vivo in stato di semischiavitù da più di tre anni, annovera fra le sue file un grosso cliente. Un tour operator straniero, di cui non farò il nome nemmeno se vi mettete a pecora…
La mega azienda vende pacchetti viaggio in tutto il mondo. Difficile che gestisca in diretto i pacchetti, sarebbe troppo difficile e costoso prenotare alberghi, transfert, guide e tutto quello che serve dalla centrale. Per questo motivo lavora con altri tour operator locali, che gestiscono i pacchetti sul posto, mentra la mega azienda si occupa del marketing e della gestione dei clienti prima e dopo il viaggio.
Avendo una quantità esorbitante di fornitori sparsi in tutto il mondo, la mega azienda ha avuto un’idea formidabile: crearsi un sistema extranet con il quale gestire le prenotazioni, non solo con i clienti, ma anche e soprattutto con i fornitori dislocati sulla crosta terrestre.
Grande idea direte voi. E lo dico pure io, ma l’idea deve essere ben realizzata 
.
Dico questo perchè oggi, come faccio spesso, apro il browser ed entro nel sistema del cliente per controllare le ultime prenotazioni. Ovviamente devo loggarmi per farlo, ed il login già vedo che mi filtra in un certo modo.
dopo aver verificato una serie di cose, senza nessun motivo valido, decido di cambiare un parametro dell’URL che leggo nella barra degli indirizzi e……… BOOOMMMMMMM …….. mi vedo davanti la lista di tutti gli utenti registrati al sistema. Riesco anche a vedere il dettaglio dell’utente “admin”.
E non è tutto: potrei cancellare tutti gli utenti dal sistema, modificare il loro profilo fino ad aggiornare le loro username e password di accesso! La cosa veramente grave è che leggo in chiaro tutte le password!!!
Cazzo, la mega azienda mondiale non sa che le password vanno criptate?!?!?! Ma lo SHA1 che l’hanno fatto a fare?!?!?!
Per vedere fin quanto potrei sono potenzialmente dannoso, provo a modificare il mio profilo e ci riesco! Per la verità cambio un parametro insignificante e lo rimetto a posto subito dopo. Da pannello di controllo del singolo utente posso apprezzare il fatto che nemmeno li le password sono criptate e la connessione NON avviene con protocollo https.
In basso vedo pure una cosa molto curiosa: il dettaglio dei moduli a cui gli utenti hanno accesso. Penso allora che un minimo di filtro c’è, ma è quello meno utile! Praticamente i moduli in allow si traducono in voci di menu presenti nella sidebar (non vi posto nessuno screenshot per ovvi motivi). Praticamente il livello di accesso regola il tipo di link che visualizzi, ma non c’è nessun controllo in accesso!
E la cosa si è fatta veramente pericolosa nel momento in cui sono riuscito ad accedere (sempre con il semplice cambiamento di un parametro numerico nell’URL) ad una pagina che smista a tutte le pagine di amministrazione della piattaforma!
Di colpo ho avuto accesso a dati sensibili che dovrebbero essere custoditi gelosamente! Dai dati personali dei clienti al bilancio societario fino ai piani di marketing contenenti le future strategie aziendali!
Visto quello che potevo fare, ho deciso di chiudere tutto! Non ho visualizzato nessun bilancio, nessun dato personale dei clienti della società, nessun piano di marketing, niente…
Ora però ho un dubbio: fottermene altamente, dato che non è un problema mio, o avvertire della cosa?
La correttezza professionale vorrebbe che io avvertissi della cosa, e sinceramente ho anche scritto una mail, al momento non spedita. Ma conosco i tipi, e visto il livello gigantesco del problema potrebbero ben pensare di accusarmi di chissà quale ackeraggio e farmi passare un guaio! Non mi stupirei di essere denunciato per spionaggio industriale! Non sono il piccolo tour operator sprovveduto, nel ranking nazionale del loro business sono al secondo posto…
Non sono neppure persone molto collaborative. Bastarono i primi tempi di extranet, quando un giorno funzionava ed uno no, per capire quanto sono pieni di loro ed incapaci di accettare l’altrui critica.
Avvertire della cosa o no, resta pure il fatto che sia assurdo che società di questo calibro si permettano di gestire cose così delicate in questo modo!
Sarà che quello che penso del comparto turistico italiano, vale anche per l’estero .
Ultimo appunto: mi fa rabbia sapere che in quel azienda c’è un intera sezione che si occupa di gestire la cosa. Persone che si vendono come professionisti del settore e si fanno pagare profumatamente.
Nell’applicazione extranet che ho fatto io per la piccola azienda per cui lavoro, l’attenzione a questo tipo di aspetti è stata curata nei minimi dettagli!
Che poi cavolo, che ci vuole a settare dei livelli di accesso numerici e fissare come prima regola di caricamento di parte dello script il controllo di validità?!
Se a qualcuno interessa posso dirvi come ho fatto io, o magari lo dico a loro… 
Quasi come quel sito che, una volta loggati, bastava inserire nell’URL “&admin=true” per avere l’accesso di amministratore
Ideonza di Giambo: Spostati in una grande citta’, entra in un internet-cafe’ e in maniera totalmente anonima divertiti a pasticciare con il sistema
Ovviamente scherzo, pero’ potresi in qualche modo contattare le “sfere alte” facendoti passare per un’esperto di sicurezza: Cosi’ non rischi che l’admin di turno metta tutto a tacere per pararsi le chiappe, e magari ti guadagni pure il rispetto di qualcuno “in alto”.
Male che ti vada, ti pensero’ al sole della prigione di Guantanamo
Qui niente ?admin=true, è bastato meno…
Ti dico solo che ho cambiato un 15 in 10 e tutto mi si è aperto…
E poi, perchè emigrare in una grande città quando posso usare un proxy da casa mia? Che poi, tu pensi che uno che ha lasciato un tale buco riesca a leggere un log del server?!
Perchè che abbia pensato di loggare nel sistema le azioni non creno nemmeno che lo abbia pensato 
Anche la piattaforma che usi per bloggare ha un bel bacherozzo di sicurezza di cui ho una dimostrazione formidabile ma che non ci sta nel bordo del commento.
Nooo, sono senza parole … Ma la sicurezza chi la cura? Topo Gigio?
@ paperino: farmi una mail e/o farlo presente a marlenek?
@ Zizio: topo gigio in confronto è un esperto in sicurezza informatica.
Beh, io in qualche modo li avvertirei, perchè come ci sei riuscito tu (che sei una persona corretta) ci può riuscire un lamer, e combinare seri danni.
Magari fatti “coadiuvare” da un esperto del settore e/o un legale, giusto per “pararsi il culo”. 🙂
@Giovy ma è mai possibile che per chiamrli e fargli un favore deve spendere soldi per chiedere prima consuleza ad un legale?!?!?!?
Fossi in te chiamerei le iene/striscia e li sputtanerei alla grande!!!!!!
🙂
non per sp*****arli, quanto per
Davido azzera a tutti il post-counter!!!
@davidonzo: scrivimi in privato e ti racconto tutto. Illo tempore feci presente ma niente accadde…
@ Fermat: ricevuto tutto, mo gli do uno sguardo
@ cadex1: LOL! Se voglio gli resetto qualcosa di molto peggio