Aggiornamenti recenti Aprile 23rd, 2024 2:00 PM
Mag 23, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 2
Un bug piuttosto banale ha messo a rischio i dati personali dei clienti di The Space Cinema per un periodo indefinito di tempo. Ad accorgersene è stato Roberto Chiarotto, sviluppatore software e lettore di Tom’s Hardware, che ha segnalato la vicenda e ha permesso a Security Info di contattare l’azienda e avvisarli del problema.
La falla di sicurezza riguardava il metodo con cui erano gestiti gli acquisti online dei biglietti in tutti i cinema della catena. La procedura, infatti, prevede come ultimo passaggio la visualizzazione e stampa del biglietto direttamente dal browser.
E qui stava il problema. L’indirizzo della pagina visualizzato sul browser, per esempio https://ecomm.thespacecinema.it/services/rest/ticket/getTicketPDF?idtransazione=11498562&numoperazione=416228573, contiene due valori numerici: l’identificativo della transazione e il numero dell’operazione. Modificando il primo si poteva visualizzare il biglietto (oltre a nome, cognome e indirizzo di posta elettronica) degli altri clienti.
Un bel problema, che va oltre l’ipotesi che qualcuno potesse essere tentato dall’idea di andare al cinema gratis usando il biglietto di un’altra persona, magari inviandole un’email in cui si annunciava l’annullamento dello spettacolo e si prometteva un futuro rimborso del prezzo pagato.
Il vero rischio, infatti, era che un cyber-criminale sfruttasse la vulnerabilità per fare incetta di indirizzi di posta elettronica dei clienti di The Space, rivendendoli sul mercato nero o sfruttandoli direttamente per inviare spam o tentare attacchi nei confronti dei malcapitati.
Per farlo sarebbe stato sufficiente usare uno script in grado di modificare progressivamente l’identificativo della transazione all’interno dell’URL e usare un sistema di riconoscimento dei caratteri per “grabbare” l’indirizzo di posta elettronica.
Informazioni come queste, inoltre, sono una vera manna per chi vuole portare un attacco di phishing. Per esempio inviando un messaggio creato ad arte in cui si chiede la conferma dei dati della carta di credito usata per l’acquisto.
In casi come questi la vittima, infatti, sa di aver effettivamente comprato il biglietto ed è portata a ritenere credibile la comunicazione ed è estremamente facile che rischi di cadere nel tranello.
In seguito alla segnalazione inviata da Security Info, The Space Cinema ha modificato il sistema di prenotazione per correggere il problema in tempi (meno di 60 giorni) tutto sommato ragionevoli. Tuttavia è stata necessaria qualche “spintarella” per portarli a fare tutto per bene.
In un primo momento, infatti, l’azienda aveva cambiato la procedura di prenotazione, ma non aveva rimosso i vecchi record, che potevano continuare a essere visualizzati partendo da una qualsiasi vecchia URL ed erano quindi ancora esposti.
Apr 22, 2024 0
Apr 15, 2024 0
Apr 15, 2024 0
Apr 11, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...
2 thoughts on “Falla nel sistema di prenotazione di The Space. Al cinema gratis?”