giovedì 25 febbraio 2010

I dati delle carte di credito vengono rubati da siti poco sicuri!

I dati delle carte di credito vengono rubati da siti poco sicuri! Ad affermarlo, congiuntamente, sono stati l'autorevolissima rivista d'informatica Computer Bild e l'istituto Fraunhofer (The Fraunhofer Institute for Integrated Circuits IIS performs contract research and development for industry and public authorities), all'indomani di un'indagine (i risultati sono disponibili su Computer Bild Italia numero 128 di Febbraio 2010) effettuata su diversi siti su cui di norma è possibile effettuare pagamenti, per l'acquisto di beni o servizi, tramite l'utilizzo di una carta di credito.

La ricerca ha analizzato dettagliatamente, con l'ausilio di speciali programmi adatti allo scopo, il famosissimo browser Firefox e il risultato è, a dir poco allarmante!

Firefox offre una praticissima funzione: in una banca dati del pc, il browser memorizza in forma non criptata i dati immessi nei form compilati. Se l'utente apre una finestra di login, il browser inserisce in automatico i dati memorizzati in maniera tale da fargli risparmiare tempo.

Nulla di male direte e, invece, il problema esiste ed è di portata consistente se non si prendono le dovute precauzioni!

Il meccanismo prevede che, oltre ai dati utili per effettuare il completamento automatico dei form, sul disco rigido arrivino anche i dati della carta di credito che l'utente aveva inserito nei campi di digitazione durante le operazioni di pagamento. Attraverso l'invio di speciali malware, i criminali sono in grado di recuperare e riutilizzare facilmente tali dati.

La ricerca ha evidenziato la poca sicurezza di siti molto importanti come Paypal, Ryanair, Lastminute.com e AirBerlin.com. Questi siti depositano sia il numero di carta, sia il codice di tre cifre (CVC), nella banca dati del browser in forma non criptata (ovvero, in chiaro).

Molto sicuri, invece, sono risultati essere i siti Expedia.it, Sony.it, Amazon.com e Apple.it. Questi siti non hanno rilasciato alcuna informazione relativa alla carta di credito utilizzata.

Secondo il nostro modesto parere, il caso più eclatante e grave è quello che riguarda Paypal! Così come si evince dall'indagine, quando si apre un nuovo conto, oltre ai dati relativi ala carta di credito, la banca dati di Firefox memorizza anche molte altre informazioni digitate, quasi tutto l'occorrente per acquistare e pagare tramite Paypal. Oltre a nome, cognome, indirizzo e numero di telefono, quindi, vengono memorizzate anche le risposte segrete alle domande di sicurezza. E' poco utile il fatto che la password non arrivi nella memoria di Firefox. Conoscendo la domanda segreta e le relative risposte fornite dal cliente di Paypal, si potrà accedere al suo conto anche senza password, acquistare a sue spese e, addirittura impedirgli di accedere al proprio conto!

Anche il sito AirBerlin.com ha dei problemi di sicurezza simili anche se, nel caso di specie, vi è da aggiungere un altro particolare. Il sito della compagnia aerea tedesca, infatti, non memorizza la data di scadenza della carta di credito. Questo parametro è necessario per effettuare qualsiasi tipo di transazione e, con un po' di pazienza può essere dedotto da qualche malintenzionato, in quanto, di solito le carte di credito sono valide per 36 mesi. Quindi sarà sufficiente effettuare un massimo di 36 tentativi per azzeccare la giusta data di scadenza. Per quanto possa sembrare elevato, il numero di 36 tentativi è ampiamente al di sotto di quelli concessi all'utente prima che la carta venga bloccata. Inoltre, dopo la sostituzione della carta scaduta, numero e codice CVC rimangono spesso invariati.

Gli esperti consigliano di rimuovere immediatamente dal browser questi dati, dopo aver effettuato un pagamento online. Per farlo è necessario procedere in questo modo: Aprire Firefox; cliccare sul menù "Strumenti"; selezionare la voce "Elimina i dati personali"; nella schermata che apparirà inserire un segno di spunta di fianco alle voci "Cronologia navigazione" e "Dati salvati nei moduli e cronologia ricerche"; cliccare sul pulsante recante la dicitura "Elimina i dati personali adesso".
Pubblicato da alle
Etichette: , , , ,
Share/Save/Bookmark

Disclaimer

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza nessuna periodicità, pertanto, non può considerarsi un prodotto editoriale ai sensi della legge n. 62 del 7.03.2001. Gli autori non ha nno alcuna responsabilità per quanto riguarda i siti ai quali è possibile accedere tramite i collegamenti posti all'interno del sito stesso, forniti come semplice servizio. Il fatto che il blog fornisca questi collegamenti non implica l'approvazione dei siti stessi, sulla cui qualità, contenuti e grafica è declinata ogni responsabilità. Gli autori non sono responsabili per quanto pubblicato dai lettori nei commenti ad ogni post, i commenti ritenuti offensivi, di genere spam o non attinenti potranno essere cancellati; i commenti lesivi dell’immagine o dell’onorabilità di persone terze, non sono da attribuirsi agli autori, nemmeno se il commento viene espresso in forma anonima e comunque verranno cancellati. Decliniamo ogni responsabilità per gli eventuali errori ed inesattezze riportati nel blog e per gli eventuali danni da essi derivanti.

Tutti i testi del blog sono regolati in base alla licenza Creative Commons per i diritti d'autore

Creative Commons License Questo/a opera è pubblicato sotto una Licenza Creative Commons. E' obbligatorio citare l'autore dell'opera e linkare la fonte. E' vietato rimuovere i link presenti nel testo.

Privacy

Per pubblicare gli annunci sul nostro sito web utilizziamo aziende pubblicitarie indipendenti. Queste aziende possono utilizzare questi dati (che non includono il tuo nome, indirizzo, indirizzo email o numero di telefono) sulle tue visite a questo e altri siti web per creare annunci pubblicitari su prodotti e servizi che potrebbero interessarti. Se desideri ulteriori informazioni a questo proposito e per conoscere le opzioni disponibili per impedire l'utilizzo di tali dati da parte di queste aziende, fai clic qui.
Powered By Blogger