Questo articolo è stato pubblicato da questo sito
Tutto comincia quando BobDaHacker, come si firma sul suo blog, scopre una falla di sicurezza nell’app dei “punti fedeltà” My McDonald’s. Un sistema che permette di ottenere consumazioni gratuite presso la più importante catena mondiale di fast food, dopo aver collezionato un certo numero di punti.
Il ricercatore, in particolare, ha scoperto che il sistema implementato nell’app non prevedeva una verifica della quantità di punti lato server. L’informazione risiedeva solo nell’app installata sullo smartphone dei clienti e, di conseguenza, chiunque con un minimo di competenza avrebbe potuto “gonfiare” i numeri e garantirsi tutti i pasti gratis che avesse voluto.
Per fortuna di McDonald’s, BobDaHacker è quello che nel settore informatico viene definito un “hacker etico”. Invece di cominciare a scroccare hamburger e bibite sfruttando il bug, ha contattato un responsabile di MacDonald’s e ha segnalato il problema. Anche Wired ha contattato l’ufficio stampa dell’azienda negli Stati Uniti per un commento sulla vicenda, senza ottenere risposta.
Una catena di problemi
Quello che ha indispettito il ricercatore è stato il fatto che la sua segnalazione non ha ricevuto alcuna risposta. Il bug è stato corretto, ma dall’azienda non è arrivato alcun ringraziamento. Uno sgarbo sufficiente per indurre BobDaHacker a spendere qualche ora in più per valutare il livello di sicurezza della catena commerciale, che con la tecnologia ha già dimostrato di avere un rapporto per lo meno “complicato”.
L’attenzione del ricercatore si è concentrata su Feel-Good Design Hub, uno strumento di marketing utilizzato dal colosso della ristorazione. La prima cosa che Bob ha notato è che il sistema di autenticazione controllava le password solo sul dispositivo dell’utente. Un’impostazione che gli esperti di sicurezza considerano poco affidabile e che lascia spazio alla possibilità di violazione.
Sul suo blog, BobDaHacker spiega di aver segnalato il problema e che il team software di McDonald’s avrebbe impiegato più di tre mesi per modificare il processo di autenticazione. Peccato che l’aggiornamento non sia stato risolutivo. BobDaHacker ha infatti trovato piuttosto rapidamente un modo per violare il sistema.
Il bug, in questo caso, è di quelli che farebbero rizzare i capelli in testa a chiunque si occupi di security. Per accedere al sistema, infatti, era necessario collegarsi a un indirizzo del tipo “www.xxxxx/xxxx/login”. Da qui si potevano inserire username e password per ottenere l’accesso.
