informatico dal "cuore buono"

Uno studente riesce ad hackerare il sito di 18app, poi collabora

Il giovane era riuscito ad aggirare la piattaforma ufficiale e generare infiniti voucher da 500 euro previsti dal bonus cultura

Il bonus cultura di 500 euro per i 18enni continua a far parlare di sé e non sempre in positivo. Aldilà del merito di aver messo a disposizione dei neo maggiorenni una cospicua somma per il proprio "aggiornamento culturale", sin dall’inizio dell’operazione in molti si sono adoperati per studiare le possibili falle di 18app, il sito ufficiale sui cui registrarsi per ottenere i buoni acquisto.

Già nelle scorse settimane avevamo parlato di come, decine di utenti, stessero studiando i sistemi più ingegnosi per aggirare il sistema, dalla "rigenerazione" dei voucher già spesi all’individuazione di articoli non proprio culturali ma ugualmente acquistabili con il bonus. Ora, però, c’è un nuovo capitolo della guerra a 18app; perché un ragazzo, classe ’98 e quindi anche lui beneficiario del bonus, ha trovato il modo di hackerare l’applicazione, isolando delle vulnerabilità nel codice che governa il sito.

Una serie di parametri, segnalati in un post pubblicato sul suo blog, che se usati in maniera fraudolenta potevano alterare l’intero sistema di erogazione del bonus. Ma Luca (questo il suo nome) per fortuna è un pirata informatico dal volto buono e, dopo la scoperta, ha dato la sua disponibilità ai gestori e agli sviluppatori del portale per collaborare assieme alla risoluzione dei problemi. Il sito Skuola.net lo ha intercettato per farsi spiegare la situazione, nella maniera più chiara possibile, direttamente da colui che ha scoperto gli errori.

La notizia è di quelle bomba: 18app aveva una falla di sicurezza e il primo ad accorgersene è stato un "semplice" utente. Ma in che cosa consisteva?
In verità si trattava di più falle di sicurezza: la prima, quella a mio parere più interessante, è relativa ad una problematica nella gestione dell'autenticazione che consentiva ad un malintenzionato di modificare l’ID dell’utente e creare coupon utilizzando la disponibilità residua dei bonus altrui. In poche parole: generare buoni infiniti. Sempre correlata a questa prima vulnerabilità, c’era anche la possibilità di eliminare i coupon generati da altri utenti, compromettendo l'integrità del portale. L'ultima vulnerabilità che ho segnalato, infine, riguarda le informazioni sensibili e la privacy degli utenti: sembra infatti che con un breve richiesta chiunque avrebbe potuto ricavare i dati anagrafici di altri utenti.

Come ti sei accorto di questo bug? E' stata una casualità oppure ti sei messo d'impegno?
Sono un appassionato di sicurezza da molto tempo e quindi, sì, c'è stata da parte mia la volontà iniziale di mettermi a studiare l'architettura del sito 18app per poter individuarne le problematiche. Diciamo che questo ha molto a che fare con l'idea della sfida (tipica del mondo hacker): ho voluto cercare un modo per poter superare il limite dei 500 euro anche se poi, una volta riuscito, mi sono voluto fermare.

Sembra però che tu non abbia usato questa falla a tuo vantaggio bensì hai comunicato ai responsabili della piattaforma il problema! È andata proprio così. Il termine adatto per indicare questa pratica è "Responsible Disclosure". In poche parole mi sono messo in contatto attraverso il CERT Nazionale (Computer Emergency Response Team, una sorta di community che si occupa di sicurezza informatica) direttamente con Sogei, l'ente che si è occupato della pubblicazione del sito 18app.it al fine di poter collaborare alla risoluzione del problema.

Quindi potremmo definirti un "hacker dal cuore buono"…
Preferirei essere chiamato "Ethical Hacker”, avendo deciso di segnalare ‘eticamente’ le vulnerabilità al responsabile della piattaforma.

Ma oggi secondo te la piattaforma è sicura o altri hacker, magari dagli intenti meno nobili, possono tentare un nuovo assalto? Nessuna piattaforma è mai sicura! La ricerca in sicurezza informatica è in costante progresso e per questo motivo potrebbero esserci ancora moltissime vulnerabilità ‘nascoste’ nel portale.