Sandro Sanna mi ha inviato questa notizia, a cui potremmo dare il titolo "A
Udine violati i computer dell'Ass 4. On line i reclami dei malati" ed è in
tre parti:
-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/07/news/a-udine-violati-i
-computer-dell-ass-4-on-line-i-reclami-dei-malati-1.7881088
-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/10/news/assalto-informati
co-insiel-noi-parte-lesa-1.7898761
-
http://messaggeroveneto.gelocal.it/cronaca/2013/10/11/news/ma-quale-hacker-c
si-ho-scoperto-i-reclami-all-ass-4-1.7903434
In poche parole: un utente dell'azieda sanitaria numero 4 vuole inviare un
reclamo attraverso il loro sito web e si accorge di una piccola falla di
sicurezza e la comunica ad un giornale on-line.
La "piccola falla" è piuttosto banale: l'applicazione non verifica se le
pagine web sono richieste da un utente autenticato e quindi è sufficiente
cambiare il numero di richiesta dall'URL e questa appare, a prescindere da
chi l'ha fatta. Direi che rientriamo nella quarta vulnerabilità più diffusa
secondo OWASP:
-
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_Refere
nces
Mi chiedo se queste pagine sono almeno protette dagli spider di Google. E
però ho trovato meraviglioso il fatto che Insiel, l'azienda che ha
sviluppato il sistema, si è dichiarata parte lesa.
Ma sappiamo bene come vanno le cose: un prodotto sicuro costa di più di uno
insicuro e quindi si opta spesso e volentieri per il secondo. Mi auguro che
un qualche giudice multi l'Ass 4 per non aver fatto i controlli e Insiel per
aver fatto male il proprio lavoro.
Nessun commento:
Posta un commento