Aggiornamenti recenti Ottobre 31st, 2024 9:00 AM
Mag 23, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 2
Un bug piuttosto banale ha messo a rischio i dati personali dei clienti di The Space Cinema per un periodo indefinito di tempo. Ad accorgersene è stato Roberto Chiarotto, sviluppatore software e lettore di Tom’s Hardware, che ha segnalato la vicenda e ha permesso a Security Info di contattare l’azienda e avvisarli del problema.
La falla di sicurezza riguardava il metodo con cui erano gestiti gli acquisti online dei biglietti in tutti i cinema della catena. La procedura, infatti, prevede come ultimo passaggio la visualizzazione e stampa del biglietto direttamente dal browser.
E qui stava il problema. L’indirizzo della pagina visualizzato sul browser, per esempio https://ecomm.thespacecinema.it/services/rest/ticket/getTicketPDF?idtransazione=11498562&numoperazione=416228573, contiene due valori numerici: l’identificativo della transazione e il numero dell’operazione. Modificando il primo si poteva visualizzare il biglietto (oltre a nome, cognome e indirizzo di posta elettronica) degli altri clienti.
Un bel problema, che va oltre l’ipotesi che qualcuno potesse essere tentato dall’idea di andare al cinema gratis usando il biglietto di un’altra persona, magari inviandole un’email in cui si annunciava l’annullamento dello spettacolo e si prometteva un futuro rimborso del prezzo pagato.
Il vero rischio, infatti, era che un cyber-criminale sfruttasse la vulnerabilità per fare incetta di indirizzi di posta elettronica dei clienti di The Space, rivendendoli sul mercato nero o sfruttandoli direttamente per inviare spam o tentare attacchi nei confronti dei malcapitati.
Per farlo sarebbe stato sufficiente usare uno script in grado di modificare progressivamente l’identificativo della transazione all’interno dell’URL e usare un sistema di riconoscimento dei caratteri per “grabbare” l’indirizzo di posta elettronica.
Informazioni come queste, inoltre, sono una vera manna per chi vuole portare un attacco di phishing. Per esempio inviando un messaggio creato ad arte in cui si chiede la conferma dei dati della carta di credito usata per l’acquisto.
In casi come questi la vittima, infatti, sa di aver effettivamente comprato il biglietto ed è portata a ritenere credibile la comunicazione ed è estremamente facile che rischi di cadere nel tranello.
In seguito alla segnalazione inviata da Security Info, The Space Cinema ha modificato il sistema di prenotazione per correggere il problema in tempi (meno di 60 giorni) tutto sommato ragionevoli. Tuttavia è stata necessaria qualche “spintarella” per portarli a fare tutto per bene.
In un primo momento, infatti, l’azienda aveva cambiato la procedura di prenotazione, ma non aveva rimosso i vecchi record, che potevano continuare a essere visualizzati partendo da una qualsiasi vecchia URL ed erano quindi ancora esposti.
Ott 28, 2024 0
Ott 14, 2024 0
Ott 10, 2024 0
Ott 09, 2024 0
Ott 31, 2024 0
Ott 30, 2024 0
Ott 30, 2024 0
Ott 29, 2024 0
Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo giorno di...Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 30, 2024 0
Una nuova versione di Qilin attacca mietendo vittime grazie...Ott 30, 2024 0
L’incubo di Spectre è tutt’altro che concluso:...Ott 29, 2024 0
Infostealer e quishing sono due tra le minacce informatiche...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo...
2 thoughts on “Falla nel sistema di prenotazione di The Space. Al cinema gratis?”