Recentemente ho scoperto una falla di sicurezza in un sito web aziendale. Questo sito ha una "Area Partner" protetta da password, e come molti siti web fornisce un modulo per reimpostare la password dell'utente.
Quando un utente chiede di reimpostare la password per il suo nickname, viene inviata una nuova password al loro indirizzo e-mail e la password diventa immediatamente effettiva. Il problema è (se questo non fosse già un problema) che la nuova password è fissa, per tutti gli utenti. Pertanto, un utente malintenzionato può accedere facilmente a qualsiasi account.
Ora, le uniche operazioni che un utente può eseguire all'interno della propria Area partner sono:
- Visualizza / modifica indirizzo email
- Cambia password
- Scarica alcuni manuali e utilità (sicuramente non è roba classificata)
- Compila un modulo di riparazione (quindi il processo continuerà via e-mail)
- Scarica loghi e immagini per scopi di marketing
Le uniche cose che vedo che un malintenzionato possa sfruttare sono:
- Impedisci l'accesso futuro a un utente legittimo (che probabilmente sarà in grado di riottenerlo subito dopo una telefonata)
- Scopri informazioni su chi sono i clienti dell'azienda (indovinando nickname casuali e guardando il loro indirizzo email). Ad ogni modo, non è qualcosa che qualcuno terrebbe segreto.
Anche se sono sempre molto disturbato da cose come questa, in questo caso devo ammettere che potrebbe non essere un grosso problema. Difetti come questo sono compromessi accettabili, in un contesto in cui non si possono causare molti danni?
Dal momento che penso che qualcuno abbia frainteso un dettaglio: quel sito web appartiene a un'azienda esterna. Non ho alcun ruolo nello sviluppo di quel sito web e non ho alcun controllo su qualsiasi decisione in merito.