Aggiornamenti recenti Ottobre 9th, 2024 9:00 AM
Ott 17, 2018 Marco Schiaffino Gestione dati, Hacking, In evidenza, News, RSS, Vulnerabilità 0
Il fatto che esista un’app di incontri dedicata esclusivamente ai fan di Donald Trump potrebbe essere, già di per sé, una notizia. Il motivo per cui e parliamo su Security Info, però, non riguarda (solo) l’assurdità del progetto.
Gli sviluppatori di Donald Daters, infatti, sono anche i più quotati candidati al premio per la peggiore implementazione dei sistemi di sicurezza dell’anno.
L’app, che viene pubblicizzata con lo slogan Make America date again viene descritta come una “community che consente di incontrare amanti e amici che al tempo stesso sono supporter di Trump”. La logica che giustifica la sua esistenza, anche questa inserita nella descrizione dell’app, è tutto sommato sensata.
A differenza di quanto accade altre applicazioni che non distinguono riguardo l’orientamento politico degli iscritti, spiega lo sviluppatore, non si rischia di andare in bianco per le proprie opinioni.
Non che il progetto abbia avuto un grande successo. Secondo il ricercatore di sicurezza Elliot Alderson, la community sarebbe composta da appena 1.607 utenti, con solo 128 incontri. La conversazione più lunga (62 messaggi) sarebbe avvenuta tra due degli sviluppatori in fase di test.
Ma come fa Alderson a saperlo? Come spiega in questo articolo, è riuscito ad accedere a tutti i sistemi di Donald Daters. Per farlo, ha impiegato la bellezza di 5 minuti.
Incuriosito dalla bizzarra app, Alderson spiega in un post sul suo blog che ha deciso di scaricarla e, dopo aver giochicchiato per un po’ come un qualsiasi utente, ha dato un’occhiata al codice dell’app.
Prima sorpresa: al suo interno erano presenti tutte le credenziali e le chiavi delle API, oltre all’indirizzo del server che contiene il database di Donald Daters.
Visto il (ridicolo) livello di sicurezza dell’app, Elliot ha deciso di dare un’occhiata anche alle configurazioni del server. E non è rimasto deluso: il database, infatti, era ancora impostato in modalità di sviluppo. Tradotto: chiunque vi poteva accedere.
A questo punto Alderson ha cominciato a darsi da fare utilizzando il materiale a disposizione e, nel giro di una manciata di minuti, è riuscito a mettere a punto un Proof of Concept che gli avrebbe permesso non solo di accedere a tutte le informazioni degli iscritti (dati personali, immagini, conversazioni e incontri) ma anche di modificarli a suo piacimento.
Per fortuna dei responsabili di Donald Daters, Alderson è un “white hat” e si è limitato a rendere pubblica la vulnerabilità, permettendogli così di correggere le impostazioni del database. La prossima volta, però, sarà bene che seguano il suo consiglio: “assumere sviluppatori competenti”.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...