"Super disastro" presso Verivox e Check24: scoperte le lacune nella sicurezza

Scoperte lacune nella sicurezza di Verivox e Check24.
Categorie:

Il Commissario di Stato bavarese per la protezione dei dati e il Commissario di Stato per la protezione dei dati del Baden-Württemberg sono alle prese con un audit approfondito: Un esperto di sicurezza ha scoperto lacune critiche nella sicurezza dei portali di comparazione Verivox e Check24. Si dice che decine di migliaia di clienti siano stati colpiti dalle fughe di dati. Il Chaos Computer Club parla addirittura di un "super disastro".

Lacune nella sicurezza di Check24 e Verivox

Le fughe di dati sono state scoperte da un esperto di sicurezza informatica che desidera rimanere anonimo. In un'intervista rilasciata al portale investigativo Correctiv, l'esperto informatico ha spiegato di essersi imbattuto per la prima volta nella vulnerabilità di sicurezza di Check24 e di aver poi scoperto una falla simile in Verivox. "Non è stata necessaria alcuna conoscenza tecnica approfondita per sfruttare le falle di sicurezza", ha dichiarato l'informatore.

Check24 e Verivox sono portali di comparazione in cui i consumatori possono confrontare, ad esempio, le tariffe di elettricità e gas o le condizioni di credito. Se il consumatore trova ciò che sta cercando, Check24 o Verivox possono concludere il contratto, se lo desidera. Nel fare ciò, le due società raccolgono una quantità considerevole di dati personali necessari per la conclusione del rispettivo contratto. I dati vengono trasmessi anche alla società intermediaria. Check24 e Verivox ricevono una commissione per la conclusione del contratto.

Violazione dei dati nella mediazione creditizia

Come riporta Correctiv, la vulnerabilità di sicurezza si è verificata nella sezione di confronto crediti di entrambi i portali. Gli interessati che avevano effettuato il login come ospiti ricevevano l'offerta personalizzata tramite un URL. Chiunque modificasse il numero alla fine dell'URL, in alto o in basso, poteva visualizzare l'offerta personale di una terza persona. Per Verivox questo era possibile senza richiedere la password, per Check24 sì. Tuttavia, la stessa password veniva utilizzata per tutti i clienti.

In questo semplice modo, l'esperto informatico è riuscito a visualizzare i dati di altre persone. Tra questi vi erano informazioni sensibili come l'indirizzo, lo stipendio mensile, il numero di figli e il datore di lavoro. L'informatore ha informato le due società tramite il Chaos Computer Club: Check24 il 29 luglio e Verivox il 20 agosto.

"È singolare che due portali così grandi, che non fanno altro che raccogliere dati e trasmetterli alle banche, commettano errori così grossolani che in realtà non dovrebbero accadere", spiega Matthias Marx del Chaos Computer Club in un'intervista a Correctiv.

Suggerimento di lettura: La Commissione irlandese per la protezione dei dati avvia un procedimento di AI contro Google

Sono già in corso indagini da parte delle autorità di protezione dei dati.

Check24 e Verivox hanno confermato le lacune di sicurezza su richiesta di Correctiv. Secondo entrambe le società, le lacune di sicurezza sono state colmate e gli sviluppatori responsabili hanno ricevuto una formazione supplementare. L'entità delle carenze tecniche e organizzative riscontrate in precedenza sarà rivelata dalle indagini delle autorità competenti per la protezione dei dati.

Check24 ha sede a Monaco di Baviera e il Commissario di Stato bavarese per la protezione dei dati è responsabile della società. Verivox ha sede a Heidelberg ed è oggetto di indagine da parte del Commissario di Stato per la protezione dei dati del Baden-Württemberg. Soprattutto, le aziende devono ora dimostrare se i dati sono stati accessibili attraverso le falle di sicurezza. Le due aziende non sono ancora state in grado di fornire informazioni sulla durata della falla di sicurezza e sul numero di persone eventualmente coinvolte. Anche questo aspetto farà parte delle indagini delle autorità di protezione dei dati.

Fonte: Mediazione creditizia presso Check24 e Verivox: scoperte perdite di dati critiche - Articolo di Correctiv

Tag:
Condividi questo post :
it_ITItalian