cognola.it è il dominio che fa riferimento ad un centro sportivo che mette a disposizione dei soci palestra campi da tennis e di squash. Offre inoltre, attraverso il suo sito web, la possibilità di prenotare campi e gestire il proprio abbonamento. Un’idea veramente brillante se si pensa che è possibile accedere alla struttura a tutte le ore andando persino a controllare luci e riscaldamento, insomma un centro automatizzato in tutto e per tutto.

Navigando tra le pagine del sistema di gestione e prenotazione si ha però, subito la sensazione che gli sviluppatori abbiano completamente omesso le più elementari regole in materia di privacy e sicurezza.

Privacy

Il sito è navigabile da chiunque, questo vuol dire che qualunque computer connesso a internet è autorizzato a a sfogliare tutte le pagine in cui non vi sia un’esplicita richiesta di un PIN a 6 cifre (PIN di cui parleremo più avanti). Partiamo, ad esempio, dalla pagina iniziale e spostiamoci sulla pagina delle prenotazioni, il sistema dopo averci chiesto, quando e cosa volessimo prenotare (palestra,squash,tennis) ci manda alla pagina di identificazione, dove attraverso l’inserimento di un PIN, possiamo identificarci e procedere con la prenotazione. Notiamo però che nella stessa pagina un tasto Non Socio ci permette comunque di andare avanti. Evidentemente è data la possibilità anche ai non-tesserati di prenotare la struttura. Benissimo. Il problema arriva quando un non socio decide di prenotare un campo da tennis; una volta cliccato su NON SOCIO, infatti, ci viene chiesto di scegliere il nostro avversario, che deve essere per regolamento un socio. NB che fino ad ora tutte queste operazioni sono state fatte senza dar la ben che minima referenza, ossia nell’assoluto anonimato. Arrivati alla schermata di selezione dell’avversario ci troviamo di fronta alla lista completa (NOME e COGNOME) degli iscritti.

Vanna Marchi, furti di identità e telemarketing
Il proprio Nome e Cognome può non sembrare un dato così importante e segreto, dopotutto la maggior parte delle persone è presente su elenchi telefonici, ha il nome scritto fuori dalla porta di casa e così via. Verissimo, in questo caso però il vostro nome, oltre che essere ben accessibile e visibili a tutti, è abbinato ad un informazione in più, attualmente siete soci di un circolo sportivo, praticate attivamente tennis o squash e con estrema probabilità siete adulti e con una qualche tipo di disponibilità economica.

Questo genere di informazioni ha un valore economico per tutte quelle persone che fanno della vendita porta a porta (via telefono, posta, email o quant’altro) la loro fonte di sostentamento. Poter offrire prodotti mirati come la vendita di attrezzature sportive o indumenti tecnici o prodotti per il benessere e il body building ha un valore aggiunto altissimo, tutto a scapito della vostra privacy.

Questo però è il minimo che possa succedervi, un criminale potrebbe impadronirsi della vostra identità per commettere reati o frodi la cui colpa poi andrebbe a ricadere su di voi. Per non mi dilungarmi troppo vi invito a leggere questo articolo su wikipedia riguardante i furti di identià.
Vi chiedo però: Se un giorno una persona vi chiamasse, e con tono familiare vi dicesse di essere del circolo, e che il sistema dei pagamenti ha avuto un problema, prelevandovi più soldi del dovuto; ma stanno sistemando tutto e gli serve solo il numero della carta di credito con cui avete effetuato il pagamento per potervi stornare la differenza; come rispondereste? Dopo tutto è plausibile, e se 8 su 10 di voi preferiranno andare al circolo di persona, ci saranno (statisticamente) 2 persone che si fidereanno…

Soluzioni
La prima soluzione è che i non soci semplicemente non possano prenotare campi. Dopo tutto se per prenotare è comunque obbligatorio scegliere un avversario socio, tanto vale che sia lo stesso socio a farlo. Se proprio non si vuole impedire ai non soci di prenotare almeno si chieda loro di inserire il numero di tessera del socio da sfidare invece che fargli scegliere da una lista di nomi e cognomi di cui per inciso il 90% saranno perfetti sconosciuti.

to be continued… i problemi come avrete capito non sono finiti qui, privacy e sicurezza vanno a braccetto, senza una l’altra è compromessa, e anche sotto il profilo della sicurezza cognola.it lascia molto a desiderare…

This post is tagged cognola.it, privacy, Sicurezza