Una SQL Injection, un banale errore di programmazione delle pagine Web. Così i dati dei clienti del 187 di Telecom Italia sono rimasti per alcuni giorni virtualmente accessibili da chiunque avesse voluto sfruttare quell’errore. Nome e cognome, codice fiscale, indirizzi E-mail, numero di telefono: tutto era a portata di mano, anche di una mano non esperta.
Come riportato da Repubblica.it, e confermato ad HTML.it da un tecnico della Ants SpA, la società che ha avvisato Telecom Italia dell’errore, almeno dal 10 marzo e sino al 5 aprile, il sito Web buy.187.it gestito da Telecom Italia poteva mostrare, se navigato da “mani esperte”, i dati degli utenti conservati nei propri archivi dal 2001.
Telecom Italia ha confermato a Repubblica.it l’errore attribuendolo a una «transizione del sistema». Nelle banche dati accessibili non erano conservati dati «in grado di infliggere danni economici diretti agli utenti», come ad esempio numeri di carta di credito. I dati cui si poteva accedere attraverso l’errore erano dati anagrafici e lo stato degli ordinativi.
La tecnica utilizzata per sfruttare l’errore è nota come SQL Injection. Per mezzo di questa tecnica, ampiamente nota anche a persone non esperte, è possibile inviare all’applicazione che gestisce la comunicazione tra sito web e banca dati alcuni comandi non previsti dallo sviluppatore. L’errore potrebbe, a seconda della struttura del database, portare anche a anche modificare, alterare o cancellare i dati presenti nelle banche dati.
/https://www.webnews.it/app/uploads/2024/11/chatgpt-1.jpg)
/https://www.webnews.it/app/uploads/2024/11/whatsapp-5.jpg)
/https://www.webnews.it/app/uploads/2024/11/whatsapp-4.jpg)
/https://www.webnews.it/app/uploads/2024/11/android.jpg)