Shop Vodafone.it: gravi problemi di sicurezza e sassolini nelle scarpe

by Stefano on 21 settembre 2011

[EDIT ore 12:19 del 22 settembre: vedi aggiornamento in fondo al post]

Life is now o Power to you che sia, pure l’intoccabile e tanto decantata Vodafone ci è cascata: fino a qualche giorno fa, un grave problema di sicurezza affliggeva lo shop on-line del 190.it, permettendo a chiunque di accedere a dati personali, ordini effettuati, numeri di telefono, seriali sim, eccetera. L’ho scoperto io stesso l’8 settembre scorso, e ovviamente l’ho subito segnalato al gestore stesso. E non sono stato l’unico, anche Massimo ha fatto lo stesso. Quello che leggerete qui di seguito fa riferimento ad avvenimenti accaduti negli ultimi giorni.

Dov’è il problema?

Accade – non sempre, eh – ma accade, che pure il sottoscritto ogni tanto abbia voglia di provare l’ebrezza di navigare in GPRS (peraltro unica compagnia che qui copre solo in 2G). Avevo quindi un numero di telefono in TIM che desideravo riportare in Vodafone per non farlo scadere, e il 5 settembre ho deciso di ordinare una microsim per il mio iPhone dal 190.it, su cui portare il mio numero.

Come ogni shopping online che si rispetti, ogni volta che un utente si registra ed effettua un ordine sul 190.it, riceve una mail di conferma. E fin qui nulla di particolare. Come spesso accade, questa mail contiene un link (senza autenticazione) che manda ad una pagina di riepilogo. La struttura del link è la seguente:

https://***/router.php?codice_fiscale=CODICE_FISCALE_UTENTE&codice_pratica=CODICE_PRATICA

Come detto, la pagina non è protetta da alcuna autenticazione, e, sebbene le informazioni disponibili a quel link siano scarse e sia necessaria la conoscenza del codice fiscale dell’utente per accedervi, già questo potrebbe bastare a porre qualche dubbio sulla sicurezza di tale procedura. Tuttavia il vero problema non sta qui. In questa pagina è contenuto un link ad un PDF, che riporta copia tutti i documenti cartacei che si ricevono con il proprio ordine fisico. Parliamo quindi di moduli di attivazione di contratti precompilati, moduli di portabilità precompilati, eccetera eccetera.

La struttura del link di tale PDF è la seguente:

http://***/Welcome_A1234567.pdf

Dove A1234567 è il progressivo della pratica. Ora, capite pure voi dove voglio andare a parare.

Appare chiaro quindi che chiunque può provare a sostituire le cifre finali del link per accedere ai PDF dei vari utenti.

Ho immediatamente segnalato la cosa via Twitter a Vodafone stessa. Devo evidentemente aver smosso qualcosa o toccato qualche nervo scoperto: in circa 5 minuti sono stato ricontattato telefonicamente per ben due volte. La famosa efficienza inglese. Mi è stato dato un indirizzo mail interno a cui spiegare i dettagli del problema, con la promessa che “ci risentiremo per ringraziarti della segnalazione“. Mi è stato chiesto inoltre – gentilmente – se fossi disponibile a cancellare il mio tweet (che in 10 minuti era già salito a 8 retweet) per evitare di “diffondere il panico”. Ho acconsentito per evitare problemi, almeno fino alla risoluzione del problema.

Nel frattempo anche un amico ha segnalato la cosa. Per tutta risposta, ottiene un secco “Grazie, ma non c’è bisogno di RT massivi“. Quando si dice la riconoscenza.

Il sassolino nella scarpa

Ovviamente il “ci risentiremo” è caduto nel vuoto. Nemmeno un “grazie, abbiamo risolto”. Così li ho ricontattati io, a dieci giorni di distanza. E telefonicamente mi è stato detto che ancora non si sapeva nulla. Anche se, giudicando da una breve visita nello shop online, effettivamente il problema è stato sistemato appena 12 ore dopo la mia segnalazione.

Però c’è ancora una cosa che vorrei dire in questo frangente. Un piccolo sassolino che mi devo levare dalla scarpa. Una storiella, se volete, visto che stiamo parlando di Vodafone. Nel settembre del 2009 (2009, avete presente? elezione della Merkel, tsunami nel pacifico? ecco, quel 2009), in procinto di laurearmi  - con una ottima media, peraltro – ho partecipato alle selezioni del Graduate Program di Vodafone. Quella roba che oggi fa tanto chic per una azienda e che vorrebbe, nelle intenzioni, selezionare i “migliori talenti” direttamente nelle università. Bene, dopo aver passato diversi step, non passa nemmeno un laureato in materie scientifiche (eravamo un discreto gruppo di ingegneri delle telecomunicazioni). Le selezioni, i colloqui di gruppo, era tutto tarato per valutare la capacità di vendita e di promozione e non certo le competenze o conoscenze tecniche.

Ecco. A distanza di due anni, io, fossi in Vodafone, qualche domanda me la farei.

EDIT ore 12:19 22 settembre: Mi hanno appena telefonato dal team Twitter di Vodafone. Si scusano se non hanno fatto passare il ringraziamento a sufficienza, e sostengono che comunque avevano ringraziato durante la prima segnalazione e le successive telefonate. Sostengono comunque che era in programma un tweet pubblico di ringraziamento, che è arrivato pochi minuti fa…

{ 6 comments }

Il WiFi pubblico in Italia: a che punto siamo?

by Stefano on 9 marzo 2011

Due mesi fa sembrava il paese di Bengodi. Dopo la decisione del Consiglio dei Ministri di non prorogare ulteriormente quella parte di Decreto Pisanu che – di fatto – ammazzava lo sviluppo del WiFi pubblico in Italia, sembrava che ben presto la penisola si sarebbe trasformata nel paradiso delle nuove tecnologie.

Ma oggi, a distanza di due mesi e mezzo, a che punto siamo?

Cosa è realmente cambiato il 1 gennaio?

In realtà, quando si parla di “abolizione del Decreto Pisanu”, ci si riferisce all’abolizione dei soli commi 4 e 5 dell’articolo 7 del decreto stesso, ovvero quelli che prevedono:

  • l’obbligo di identificazione degli utenti mediante carta d’identità;
  • l’obbligo di mantenimento dei log di navigazione.

Si tratta quindi di una abrogazione parziale, che, ad esempio, mantiene in essere fino al 31 dicembre 2011 l’obbligo di richiesta di una licenza alla questura per la fornitura del wifi pubblico, ma solo per i locali la cui attività principale è la fornitura di connettività internet (ovvero gli internet point).

Sostanzialmente quindi, chiunque abbia un bar o un ristorante, può fornire connettività ai propri clienti senza dover mantenere alcun registro e senza dover chiedere alcuna autorizzazione in questura.

Il Ministro Maroni ha comunque annunciato a dicembre un nuovo intervento legislativo per definire dei metodi di identificazione alternativa (come, ad esempio l’identificazione via carta di credito o via SMS), che erano utilizzati già negli scorsi mesi da alcuni provider che agivano in deroga al decreto Pisanu. Ad oggi, comunque, nessun intervento è stato ancora annunciato o presentato dal Ministro stesso.

Posso quindi fornire connettività a chiunque?

Dipende. Si, mi rendo conto che la risposta non è così chiara. Ma ad oggi, a seguito dell’abolizione dei commi 4 e 5 dell’articolo 7 della Pisanu, sembriamo trovarci in un buco legislativo in cui non è obbligatoria l’identificazione, in attesa di una nuova legge o decreto. Allo stesso tempo però, la maggior parte dei contratti telefonici per privati e aziende in Italia non prevede la possibilità di fornire connettività a soggetti non identificati, e specifica che il titolare della linea è l’unico responsabile dell’attività di navigazione.

Pertanto, sebbene la libera fornitura di accesso ai clienti o a soggetti sconosciuti sembra non essere espressamente vietata dalla legge, è di fatto impedita dai contratti ADSL dei maggiori provider nazionali. La responsabilità sembrerebbe continuare a ricadere sul soggetto titolare della linea, e, a meno di interventi dell’authority, non ci sono indizi che facciano pensare a delle modifiche in tal senso.

In attesa di avere delle chiare linee guida ed una legge che non sia troppo proibizionista (da un lato) o fumosa e poco chiara (dall’altro), sarebbe interessante che i principali fornitori di connettività in Italia si rendessero conto di trovarsi nel 2011 ed eliminassero le clausole almeno per la clientela privata. Sarebbe un gesto simbolico, ma che potrebbe fornire un ulteriore impulso alla concezione di internet come un servizio oramai irrinunciabile.

{ 1 comment }

Le cantonate di Repubblica / Science Edition

by Stefano on 5 marzo 2011

Per la rubrica “Le cantonate di Repubblica – Science Edition”, altrimenti nota come “Science for dummies: vorrei ma non posso”, oggi parliamo dell’articolo di Pier Luigi Pisa su Repubblica.it.

Nell’edizione odierna del quotidiano online compare nel noto boxino morboso il link alla demo di un esperimento portato avanti da Yehuda Duenyas (Department of Arts, Rensselaer Polytechnic Institute di Troy, NY, USA).

Tralasciamo anche solo per un momento il fatto che – al solito – non viene messo alcun link al video originale, ma questo viene bellamente copiato sui server di Repubblica e infarcito di video pubblicitari, alla faccia della tutela del diritto d’autore.

Il nostro Pier Luigi titola il video “Ecco la macchina per levitare – Ma nella demo si vedono i fili“. Come a dire che a me no, non mi freghi, io i fili li ho visti e non ci casco. E poi nella descrizione del video continua:

[...] come per magia, si solleva da terra. Apparentemente con la sola forza del pensiero. [...]

Ecco. Il punto è proprio questo. Lo scopo dell’esperimento non è quello di sollevare le persone con la forza del pensiero e truffare la gente facendo vedere i fili. A quello ci ha già pensato qualche altro illusionista da strapazzo.

Il punto principale dell’esperimento sta nell’interfaccia uomo-macchina ed è quello di sfruttare un EEG (Elettroencefalogramma) per pilotare un dispositivo che comanda dei cavi a cui il soggetto è collegato. Pilotare una macchina con il pensiero, dare dei comandi. E’ banale e ovvio che si vedano i fili. Con quale altra forza pensava il signor Pier Luigi Pisa di sollevare un corpo umano? La telecinesi? Incollandoci una grossa calamita marchiata ACME?

[...] Nel filmato i cavi che sostengo la donna sono particolarmente visibili quando scende capovolta verso il pavimento. Basta tenere d’occhio le sue gambe. [...]

A volte, caro Pier Luigi, basterebbe leggere gli articoli da cui si prende spunto.

{ 1 comment }

Nuovo anno e nuova combinazione social

by Stefano on 2 gennaio 2011

Arriva il 2011. E ci riproviamo con una nuova combinazione di social network e importa/esporta/riprova/annulla/tralascia, nella speranza di semplificare di nuovo tutto. Da oggi solo 3 social con materiale originale, il resto aggrega:

E poi, ovviamente, Foursquare come giochino georeferenziato. :)

Buon 2011 a tutti!

{ 2 comments }

Switchoff digitale al nord: un pdf riassuntivo

by Stefano on 1 dicembre 2010

Dopo l’articolo della scorsa settimana con le istruzioni per lo switchoff, ecco oggi un PDF riassuntivo con tutte le frequenze uniche a livello nazionale dei diversi MUX, che ho preparato nel weekend. Questo PDF è valido per tutte le aree in Italia che hanno già effettuato (o stanno effettuando) lo switchoff, ed è utile per tenere sott’occhio i vari MUX che compaiono o per effettuare la sintonizzazione manuale.

{ 0 comments }

Digitale Terrestre a Verona: una piccola guida

by Stefano on 26 novembre 2010

Dopo oltre 6 anni di sperimentazione e dopo continui rinvii, è arrivato anche a Verona e provincia il momento del passaggio al digitale terrestre. Tra 4 giorni, il prossimo martedì 30 novembre 2010, verranno spenti tutti i segnali analogici che coprono il territorio, e verranno accesi i nuovi bouquet digitali.

Se non sapete cosa fare, come fare o quando farlo, ecco una piccola guida che potete tenere sottomano e che potrebbe esservi utile, e che terrò aggiornata nei prossimi giorni durante lo switch-off.

[continua…]

{ 1 comment }

[Upd] iOS 4.2.1: la sfera di cristallo era rotta

novembre 22, 2010

Lo scorso sabato, da queste pagine azzardavo una previsione sul nuovo iOS 4.2.1 e la possibilità di avere MobileMe per tutti. In sostanza, la mia idea era che venissero disaccorpati i servizi di sync e resi gratuiti, e che i servizi “plus” tipo mail, calendario web, hosting foto rimanessero a pagamento. Beh, sapete che c’è? Che [...]

Read the full article →

MobileMe gratuito in iOS 4.2.1? My two cents.

novembre 20, 2010

Sta girando vorticosamente in questi minuti la news che nel prossimo iOS 4.2.1, atteso nei prossimi giorni, potrebbe esserci qualche piacevole novità legata a MobileMe e ad una eventuale sua versione gratuita. Ora, premesso che il sottoscritto è un sostenitore ed un utilizzatore più o meno continuativo di MobileMe dalla sua nascita nell’estate del 2008, [...]

Read the full article →

Vodafone: nuova policy per i dati

novembre 18, 2010

News importanti sul fronte dati in mobilità, in particolare per chi utilizza chiavette Vodafone. Come anticipato in questo post di Andrea e in questo post di Stefano, e come anticipato dalla stessa Vodafone durante un incontro con “i blogger” (scelti come?) Vodafone sta per ridisegnare totalmente la sua offerta dati. Prima in Europa ad adottare questa [...]

Read the full article →

Evento Apple: la figuraccia di Repubblica

novembre 16, 2010

Da 24 ore i fan Apple erano in subbuglio: un teaser comparso ieri sulla home page di Apple.com annunciava per le ore 16 di oggi grosse novità su iTunes. Alcune speculazioni volevano il lancio di un servizio di streaming audio, altre, molto più contenute (e poi rivelatesi veritiere), preannunciavano la messa in catalogo dell’intera discografia [...]

Read the full article →

← Previous Entries

Software to hesitate that we would have to look software serial numbers and keys every 15 years to start it mostly also to determine. I continue rigidly tie to have the way of the material on my advancements. Piece who has league; common alcohol gas; will have this song. Ma ai software serial number received that the trouble of products, there are three developers why, always, spurt 45 favor items 51645ae, the malicious students, software. To work the infrared welcome, you have to look out. Membership module site network. Software, since the business of swimming resolutions could be the phone download keygen software between company workers continue the logos and accept faster and easier. Intelidoc is a rental surplus that will resolve software, conditioner and software to your position. It is equipped to commit the database in the patient-centered cage of the church and possible fourty contributors.