Vorrei segnalare un grave buco di sicurezza riguardante il famoso sito di social shopping 'Groupalia'.
Molti di noi sono iscritti alla newsletter per ricevere direttamente in posta le varie proposte, e cliccando sul link presente nella mail si entra di diritto autenticati in Groupalia. Premetto che ho salvato per comodità la password quindi non me la chiede più (opzione 'Ricordami al prossimo accesso').
Qualcuno ha mai provato a guardare cosa contiene il link? O meglio.. provate a copiare l'url e inviarla ad un vostro amico (come ho fatto io).
Siete fregati, anche lui entrerà autenticato nel tuo account! E immaginate le conseguenze se il malcapitato (io) ha anche la carta di credito collegata...
Non ne esci neanche cambiando la password perchè questi signori, per comodità loro, per negliglenza o non so cosa, hanno incapsulato nella url il tag 'auto' contenente l'ID univoco che ti identifica, che (a questo punto) non viene rigenerato neanche al cambio password.
Ecco un esempio del link dove ho giusto modificato il GUID nel tag 'auto' (quindi inutile cliccarci sopra, non entrerete nel mio account!):
www.groupalia.it/salute-bellezza/terme-e-massaggi/offerta-tibetane-campane-esistenziale-bioenergetico.html?nlcity=94a5dc0d-f5ed-4464-8445-c6ee5033a881&auto=F75FA51C-4698-4C30-8593-51191168A0ED&mnkmedium=email&mnksource=nl&mnkcamp= default
Ovviamente ho telefonato a Groupalia per segnalare la cosa e un operatore mi ha assicurato che non dipende da Groupalia.
Allora ho cercato di mandare un mail ma non forniscono un indirizzo, solo la possibilità di compilare un form esponendo il problema.
Ho scritto qui la mia protesta. Non mi hanno risposto.
Come posso cautelarmi?
Grazia Cardone
Rispondi quotando
