Falla nel sistema di prenotazione di The Space. Al cinema gratis?

Mag 23, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 2

Bastava modificare l’URL che punta al biglietto per vedere (e stampare) i biglietti acquistati da altri clienti o fare incetta di dati personali.

Un bug piuttosto banale ha messo a rischio i dati personali dei clienti di The Space Cinema per un periodo indefinito di tempo. Ad accorgersene è stato Roberto Chiarotto, sviluppatore software e lettore di Tom’s Hardware, che ha segnalato la vicenda e ha permesso a Security Info di contattare l’azienda e avvisarli del problema.

La falla di sicurezza riguardava il metodo con cui erano gestiti gli acquisti online dei biglietti in tutti i cinema della catena. La procedura, infatti, prevede come ultimo passaggio la visualizzazione e stampa del biglietto direttamente dal browser.

E qui stava il problema. L’indirizzo della pagina visualizzato sul browser, per esempio https://ecomm.thespacecinema.it/services/rest/ticket/getTicketPDF?idtransazione=11498562&numoperazione=416228573, contiene due valori numerici: l’identificativo della transazione e il numero dell’operazione. Modificando il primo si poteva visualizzare il biglietto (oltre a nome, cognome e indirizzo di posta elettronica) degli altri clienti.

Modificando il valore idtransazione era possibile “scorrere” tra le prenotazioni effettuate online da tutti i clienti di The Space Cinema.

Un bel problema, che va oltre l’ipotesi che qualcuno potesse essere tentato dall’idea di andare al cinema gratis usando il biglietto di un’altra persona, magari inviandole un’email in cui si annunciava l’annullamento dello spettacolo e si prometteva un futuro rimborso del prezzo pagato.

Il vero rischio, infatti, era che un cyber-criminale sfruttasse la vulnerabilità per fare incetta di indirizzi di posta elettronica dei clienti di The Space, rivendendoli sul mercato nero o sfruttandoli direttamente per inviare spam o tentare attacchi nei confronti dei malcapitati.

Per farlo sarebbe stato sufficiente usare uno script in grado di modificare progressivamente l’identificativo della transazione all’interno dell’URL e usare un sistema di riconoscimento dei caratteri per “grabbare” l’indirizzo di posta elettronica.

Informazioni come queste, inoltre, sono una vera manna per chi vuole portare un attacco di phishing. Per esempio inviando un messaggio creato ad arte in cui si chiede la conferma dei dati della carta di credito usata per l’acquisto.

In casi come questi la vittima, infatti, sa di aver effettivamente comprato il biglietto ed è portata a ritenere credibile la comunicazione ed è estremamente facile che rischi di cadere nel tranello.

In seguito alla segnalazione inviata da Security Info, The Space Cinema ha modificato il sistema di prenotazione per correggere il problema in tempi (meno di 60 giorni) tutto sommato ragionevoli. Tuttavia è stata necessaria qualche “spintarella” per portarli a fare tutto per bene.

In un primo momento, infatti, l’azienda aveva cambiato la procedura di prenotazione, ma non aveva rimosso i vecchi record, che potevano continuare a essere visualizzati partendo da una qualsiasi vecchia URL ed erano quindi ancora esposti.

Condividi l'articolo