Furto di carte di credito tramite i motori di ricerca

5 ottobre 2004
DataManager.It

Se è vero che il timore dei consumatori nei confronti del possibile furto di dati personali continua ad aumentare, una prova condotta dal portale NewsFactor dimostra che tale timore non è affatto ingiustificato.

La prova in questione ha dimostrato che parecchi motori di ricerca rivelano i dati completi delle carte di credito. Tuttavia, gli analisti ed i rivenditori continuano ad affermare che il rischio è minimo e che il timore più grande, semmai, dovrebbe essere quello di una frode interna, cioè commessa dagli impiegati delle aziende con accesso ai dati.

Con l'obiettivo di valutare il rischio reale che si corre effettuando acquisti tramite la rete, NewsFactor ha fatto la prova con Google ed altri motori di ricerca. I risultati sono allarmanti: praticamente chiunque usi un motore di ricerca può accede alle informazioni personali delle carte di credito. Questo non presuppone un difetto nei motori di ricerca, poiché questi ultimi rilevano semplicemente i dati, senza preoccuparsi di come siano usati. I dati comparsi provengono dalle piccole imprese del commercio elettronico.

La prima prova è stata effettuata con Google, dove sono stati introdotti i primi quattro numeri di una carta di credito estendendo lo spazio delle combinazioni possibili. In sostanza, la ricerca effettuata è stata: visa 4060000000000000..4060999999999999.
Il risultato è stato una lunga lista di numeri di carte di credito con nome, indirizzo, numero di telefono, data di scadenza e una lista degli ultimi acquisti. I risultati erano simili in altri motori di ricerca e con molti tipi di carte di credito, compreso MasterCard o American Express.

Carrie Johnson, senior analyst di Forrester Research, interpellato da NewsFactor sostiene inoltre che è prassi di alcune aziende chiedere informazioni supplementari durante l’acquisto tramite carta di credito. A questo proposito i ricercatori di NewsFactor hanno avuto prova che tale condotta può risultare ancora più pericolosa per l’utente. Tra i risultati emersi nelle loro ricerche su Google, hanno infatti trovato links che portavano ad interi database “in chiaro” con moltissimi campi alcuni dei quali contenenti addirittura i numeri delle tessere sanitarie degli ignari utenti. A parziale consolazione, il fatto che da tutte le ricerche svolte non sono emersi links ai siti più utilizzati e “fidati” della rete per acquisti elettronici come possono essere eBay o Amazon. La vulnerabilità riguarda quindi per lo più piccole aziende, apparentemente per la leggerezza o la non curanza dei professionisti IT.

Il fatto di evitare che alcuni files vengano “pescati” dai motori di ricerca è infatti un imperativo assoluto, anche perché una semplice e poco costosa soluzione potrebbe essere un normalissimo file “robot” che blocchi l’accesso degli spider dei motori di ricerca a determinati tipi di files presenti su un sito web. In ogni caso questo tipo di dato in particolare dovrebbe essere conservato quanto meno solo dopo essere stato criptato.

PeaceLink C.P. 2009 - 74100 Taranto (Italy) - CCP 13403746 - Sito realizzato con PhPeace 2.7.15 - Informativa sulla Privacy - Informativa sui cookies - Diritto di replica - Posta elettronica certificata (PEC)