Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mag 23, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 2
Un bug piuttosto banale ha messo a rischio i dati personali dei clienti di The Space Cinema per un periodo indefinito di tempo. Ad accorgersene è stato Roberto Chiarotto, sviluppatore software e lettore di Tom’s Hardware, che ha segnalato la vicenda e ha permesso a Security Info di contattare l’azienda e avvisarli del problema.
La falla di sicurezza riguardava il metodo con cui erano gestiti gli acquisti online dei biglietti in tutti i cinema della catena. La procedura, infatti, prevede come ultimo passaggio la visualizzazione e stampa del biglietto direttamente dal browser.
E qui stava il problema. L’indirizzo della pagina visualizzato sul browser, per esempio https://ecomm.thespacecinema.it/services/rest/ticket/getTicketPDF?idtransazione=11498562&numoperazione=416228573, contiene due valori numerici: l’identificativo della transazione e il numero dell’operazione. Modificando il primo si poteva visualizzare il biglietto (oltre a nome, cognome e indirizzo di posta elettronica) degli altri clienti.
Modificando il valore idtransazione era possibile “scorrere” tra le prenotazioni effettuate online da tutti i clienti di The Space Cinema.
Un bel problema, che va oltre l’ipotesi che qualcuno potesse essere tentato dall’idea di andare al cinema gratis usando il biglietto di un’altra persona, magari inviandole un’email in cui si annunciava l’annullamento dello spettacolo e si prometteva un futuro rimborso del prezzo pagato.
Il vero rischio, infatti, era che un cyber-criminale sfruttasse la vulnerabilità per fare incetta di indirizzi di posta elettronica dei clienti di The Space, rivendendoli sul mercato nero o sfruttandoli direttamente per inviare spam o tentare attacchi nei confronti dei malcapitati.
Per farlo sarebbe stato sufficiente usare uno script in grado di modificare progressivamente l’identificativo della transazione all’interno dell’URL e usare un sistema di riconoscimento dei caratteri per “grabbare” l’indirizzo di posta elettronica.
Informazioni come queste, inoltre, sono una vera manna per chi vuole portare un attacco di phishing. Per esempio inviando un messaggio creato ad arte in cui si chiede la conferma dei dati della carta di credito usata per l’acquisto.
In casi come questi la vittima, infatti, sa di aver effettivamente comprato il biglietto ed è portata a ritenere credibile la comunicazione ed è estremamente facile che rischi di cadere nel tranello.
In seguito alla segnalazione inviata da Security Info, The Space Cinema ha modificato il sistema di prenotazione per correggere il problema in tempi (meno di 60 giorni) tutto sommato ragionevoli. Tuttavia è stata necessaria qualche “spintarella” per portarli a fare tutto per bene.
In un primo momento, infatti, l’azienda aveva cambiato la procedura di prenotazione, ma non aveva rimosso i vecchi record, che potevano continuare a essere visualizzati partendo da una qualsiasi vecchia URL ed erano quindi ancora esposti.
Lug 23, 2024 0
Lug 22, 2024 0
Lug 22, 2024 0
Lug 16, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...
2 thoughts on “Falla nel sistema di prenotazione di The Space. Al cinema gratis?”