Non è certo un comportamento voluto o intenzionale quello del sito web di Agos, società finanziaria italiana specializzata nel credito al consumo, dal quale fino a qualche giorno fa è stato possibile acquisire in modo fraudolento il codice fiscale e il codice cliente degli utenti che hanno una posizione aperta presso l’istituto.

A scoprire il comportamento anomalo è stato prima di tutti il ricercatore ed esperto di intelligence da fonti aperte Lorenzo Romani, che a sua volta non ha divulgato informazioni utili a intuire quale fosse il portale affetto dal problema. La ragione è chiara: qualunque sito web che riveli involontariamente i dati dei propri utenti può costituire una preziosa fonte di informazioni per costruire attacchi informatici e truffe online. Svelare l’esistenza del sito affetto da una vulnerabilità e, peggio ancora, i dettagli per replicarla, avrebbe quindi potuto compromettere alcune informazioni personali degli utenti e, di conseguenza, la loro sicurezza.

Il problema è stato risolto in seguito a una segnalazione di Wired, che per la pubblicazione di questo articolo ha deciso di attendere un ragionevole lasso di tempo per dare modo all’azienda, controllata da Crédit Agricole e da Banco Bpm, di intervenire tempestivamente a tutela dei suoi clienti.

Il diavolo sta nei dettagli

Pagina di accesso, recupero credenziali, recupero della password o del codice utente: il procedimento è familiare a chiunque disponga di un dispositivo digitale. Tanto più se si è inclini a perdere le proprie credenziali e dunque a chiederne delle nuove. È da questo meccanismo che, a causa di un comportamento non previsto del sito web di Agos era possibile acquisire informazioni personali degli utenti attraverso le funzioni di “ispezione degli elementi” delle pagine web, comuni in qualunque browser e ben note a qualsiasi sviluppatore.

È chiaro che a ogni azione su un sito, il computer e il sito stesso comunicano: nel caso di Agos, la comunicazione era ben troppo ricca di dettagli e tutti questi venivano trasferiti in chiaro. Così, in caso di smarrimento del codice utente il sistema chiedeva di inserire il proprio codice fiscale: inserendone uno qualunque era possibile verificare se fosse effettivamente associato a un’utenza di Agos, acquisendone anche il codice cliente. In tal senso, un utente qualunque avrebbe potuto inserire codici fiscali di cui era a conoscenza per controllare se il legittimo titolare aveva mai ricevuto prestiti dalla finanziaria.

Ma il problema forse più cogente riguardava il recupero della password, per la quale il sistema chiede il codice utente assegnato al cliente al momento dell’iscrizione. Infatti, a ogni richiesta di password tramite suddetto codice, il sistema restituiva in chiaro il codice fiscale associato.

Di per sé potrebbe sembrare un problema minore, dal momento che per eseguire questa procedura occorre conoscere in partenza il codice del cliente. Tuttavia, questi sono composti da stringhe di numeri da otto cifre. Era dunque facile comporre stringhe di numeri casuali comprese tra un milione e 19999999, estraendo il codice fiscale associato a ogni combinazione corretta, come Wired ha potuto verificare.

“Cinque anni fa scoprivo che una funzionalità della piattaforma web di Findomestic consentiva di stabilire se al codice fiscale di un soggetto fosse abbinato un finanziamento o una richiesta di finanziamento”, scrive su Linkedin Lorenzo Romani, a cui va la paternità della scoperta: “A un lustro di distanza siamo al punto di partenza”. Il riferimento è a una simile denuncia fatta sempre da Romani e anche all’epoca riportata da Wired, in seguito alla quale Findomestic chiarì come il meccanismo fosse progettato per “facilitare l’onboarding degli utenti”.

Il problema fu comunque risolto. Ma nel caso di Findomestic si limitava al fatto che fosse possibile verificare se un dato codice fiscale era associato a un finanziamento. Come detto, la vulnerabilità scoperta sul sito di Agos avrebbe permesso, al contrario, di elencare codici utente casuali, svelando l’identità dei clienti della finanziaria.

Perché questo è un problema

In un quotidiano ripetersi di truffe e raggiri, qualunque informazione in rete porta l’acqua al mulino di chi vuole approfittarsene. Se un truffatore avesse sfruttato questo meccanismo, avrebbe potuto facilmente individuare bersagli fragili dei quali avrebbe a quel punto conosciuto sia i dati personali (rappresentati nel codice fiscale) sia il fatto che avevano sottoscritto dei finanziamenti con Agos. Con tanto di codice utente - un dato verosimilmente noto solo all’intestatario del credito e all’azienda che lo eroga - chiunque avrebbe potuto costruire una campagna di truffe ai danni del più sprovveduto, spacciandosi a sua volta per un operatore della società di credito. Fortuna vuole che ad accorgersene sia stato un ethical hacker, termine che identifica normalmente quegli esperti informatici che preferiscono rivelare le vulnerabilità piuttosto che trarne un vantaggio personale, anche se nel caso di falle nei sistemi è sempre difficile accertare che nessuno se ne fosse accorto prima, magari trattenendo per sé l’informazione.

"Non ci risulta che ci sia stato alcun abuso", ha fatto sapere l’azienda a Wired, con cui ha dimostrato la massima collaborazione fin dal primo contatto. L’azienda ha spiegato che il problema era noto ma giudicato non di priorità massima in quanto non permette la compromissione delle credenziali di accesso degli utenti. Per la stessa ragione, Agos ritiene di non dover informare l’Autorità garante per la protezione dei dati personali, che generalmente deve essere coinvolta in caso di violazione dei dati.

"Il tema da lei evidenziato era noto, monitorato e in pianificazione di intervento nell’ambito dei processi di miglioramento e revisione continui, ritenuto non critico in quanto non avrebbe potuto avere un seguito di accesso al profilo utente - scrive Agos in una nota in risposta alle domande di Wired -. Sono infatti necessarie autorizzazioni ed Otp [One time password, ndr] differenziati su mail e sms cliente. Nel monitoraggio non abbiamo comunque registrato accessi massivi o impropri». Nonostante il monitoraggio, occorre notare che il sistema non ha allertato i tecnici dell’azienda delle prove effettuate da Wired, tramite computer e connessioni diverse e localizzate in diversi Paesi, in particolare tra il 4 e il 5 aprile scorso, come confermato da loro stessi in una riunione con i vertici dell’azienda. Certo l'esperimento di Wired, volto unicamente ad accertare la vulnerabilità, non può configurarsi come un accesso massivo. Ma ormai sono sufficienti solo poche informazioni chiave per costruire truffe anche ai più alti livelli.