Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Ott 17, 2018 Marco Schiaffino Gestione dati, Hacking, In evidenza, News, RSS, Vulnerabilità 0
Il fatto che esista un’app di incontri dedicata esclusivamente ai fan di Donald Trump potrebbe essere, già di per sé, una notizia. Il motivo per cui e parliamo su Security Info, però, non riguarda (solo) l’assurdità del progetto.
Gli sviluppatori di Donald Daters, infatti, sono anche i più quotati candidati al premio per la peggiore implementazione dei sistemi di sicurezza dell’anno.
L’app, che viene pubblicizzata con lo slogan Make America date again viene descritta come una “community che consente di incontrare amanti e amici che al tempo stesso sono supporter di Trump”. La logica che giustifica la sua esistenza, anche questa inserita nella descrizione dell’app, è tutto sommato sensata.
A differenza di quanto accade altre applicazioni che non distinguono riguardo l’orientamento politico degli iscritti, spiega lo sviluppatore, non si rischia di andare in bianco per le proprie opinioni.
Non che il progetto abbia avuto un grande successo. Secondo il ricercatore di sicurezza Elliot Alderson, la community sarebbe composta da appena 1.607 utenti, con solo 128 incontri. La conversazione più lunga (62 messaggi) sarebbe avvenuta tra due degli sviluppatori in fase di test.
Ma come fa Alderson a saperlo? Come spiega in questo articolo, è riuscito ad accedere a tutti i sistemi di Donald Daters. Per farlo, ha impiegato la bellezza di 5 minuti.
Incuriosito dalla bizzarra app, Alderson spiega in un post sul suo blog che ha deciso di scaricarla e, dopo aver giochicchiato per un po’ come un qualsiasi utente, ha dato un’occhiata al codice dell’app.
Prima sorpresa: al suo interno erano presenti tutte le credenziali e le chiavi delle API, oltre all’indirizzo del server che contiene il database di Donald Daters.
Visto il (ridicolo) livello di sicurezza dell’app, Elliot ha deciso di dare un’occhiata anche alle configurazioni del server. E non è rimasto deluso: il database, infatti, era ancora impostato in modalità di sviluppo. Tradotto: chiunque vi poteva accedere.
A questo punto Alderson ha cominciato a darsi da fare utilizzando il materiale a disposizione e, nel giro di una manciata di minuti, è riuscito a mettere a punto un Proof of Concept che gli avrebbe permesso non solo di accedere a tutte le informazioni degli iscritti (dati personali, immagini, conversazioni e incontri) ma anche di modificarli a suo piacimento.
Per fortuna dei responsabili di Donald Daters, Alderson è un “white hat” e si è limitato a rendere pubblica la vulnerabilità, permettendogli così di correggere le impostazioni del database. La prossima volta, però, sarà bene che seguano il suo consiglio: “assumere sviluppatori competenti”.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...