(L'articolo è stato modificato per riportare la seguente dichiarazione: "A partire da una chiamata con easyJet conclusa alle 14.05 di mercoledì 9 dicembre, Wandera è lieta di affermare che easyJet ha confermato che questo non è più un problema in corso." - Eldar Tuvey, CEO e co-fondatore Wandera.)

Un altro grosso buco di sicurezza è stato scoperto, e questa volta comporta informazioni finanziarie e dati personali, con la perdita dei dati della carta di credito durante gli acquisti da siti Web e app mobili di alcune aziende.

Wandera ha scoperto questa vulnerabilità, che ha nominato CardCrypt, e ha osservato che le informazioni di pagamento non crittografate sono trapelate dagli smartphone quando gli utenti stanno completando le transazioni tramite il Web mobile o quando utilizzano app.

Le compagnie interessate includono i servizi di Chiltern Railways e Dash Card nel Regno Unito e Aer Lingus in Irlanda, insieme ad Air Canada, AirAsia e American Taxi per citarne alcuni (16 sono le aziende colpite in totale).

I dati sversati comprendono i dettagli completi della carta di credito (incluso il numero di sicurezza CVV cruciale sul retro in alcuni casi), nonché i nomi e gli indirizzi dei clienti, insieme ai dettagli di contatto e, naturalmente, i dettagli delle transazioni.

Wandera osserva che i dati esatti trapelati variano da azienda a società, a seconda di ciò che l'organizzazione richiede al cliente per elaborare la transazione, ma in quasi tutti i casi i dati della carta di credito sono stati raccolti in chiaro (e informazioni sul passaporto apparentemente dettagliate in un caso ).

Sì, si tratta di una situazione estremamente preoccupante, in particolare per i clienti di queste 16 società che sono circa mezzo milione al giorno.

Se usi una delle aziende, probabilmente non ti sentirai confortato nel sentire che nei test di Wandera, i dati completi della carta di credito sono trapelati non criptati.

Errore HTTPS

Forse ancora più preoccupante è la natura basilare di questa vulnerabilità, poiché la perdita si verifica perché i siti e le app di queste organizzazioni non utilizzano HTTPS per crittografare i dati inviati dal telefono alla società. Invece, i dettagli finanziari sensibili vengono semplicemente trasmessi su una connessione HTTP standard, lasciandoli aperti all'intercettazione e al successivo abuso.

HTTPS non è un requisito in tali transazioni? Infatti, è previsto da PCI DSS (Payment Card Industry Data Security Standards) che qualsiasi informazione sensibile deve essere crittografata quando viene trasmessa sulle reti pubbliche, per ovvi motivi.

Eldar Tuvey, CEO di Wandera, ha commentato: "Riteniamo che ci siano due probabili ragioni per cui HTTPS non è stato utilizzato, potrebbe essere un difetto nella codifica, o potrebbe essere un caso di affidamento su servizi o librerie di terze parti inadeguate. Ad ogni modo, è incredibile per me che queste aziende non abbiano esercitato sufficiente attenzione nella raccolta dei dati personali dei loro clienti ".

Potrebbero esserci anche altre aziende afflitte dallo stesso difetto. Nel frattempo, le aziende di cui sopra sono già state informate di questo problema, e si spera che possano intervenire (o averlo già preso).

  • Le 10 principali violazioni dei dati degli ultimi 12 mesi