Passo falso per Groupon: l’intero database degli utenti di SoSasta, sussidiaria indiana del celebre sito per l’acquisto di coupon in Rete, è infatti stato erroneamente pubblicato nel web ed indicizzato da Google, risultando così disponibile a tutti i navigatori. Il database in formato SQL conteneva informazioni riservate quali indirizzi email e password d’accesso degli utenti in chiaro.
La scoperta è stata effettuata nei giorni scorsi dal ricercatore australiano Daniel Grzelak, il quale durante la ricerca di basi di dati compromesse e disponibili nel web si è trovato di fronte un file di enormi dimensioni, contenente le informazioni degli oltre 300.000 utenti indiani di Groupon. L’obiettivo della ricerca di Grzelak era l’individuazione di simili informazioni per arricchire l’archivio del propri sito web shouldichangemypassword.com, il quale permette di sapere se il proprio indirizzo email è stato compromesso e suggerisce eventualmente il cambio della password d’accesso.
Immediatamente allarmati dell’accaduto, i vertici di Groupon hanno provveduto a rimuovere dalla Rete il database, avviando un’indagine interna al fine di individuare le cause di tale errore. Agli utenti indiani verrà inoltre notificata la necessità di modificare le credenziali per l’accesso al proprio account, essendo state compromesse quelle precedentemente inserite in fase di registrazione. L’incidente, ha spiegato Grzelak, non rappresenta un’anomalia: piuttosto spesso capita che per errore vengano indicizzati da Google file in formato SQL contenenti i dati degli utenti registrati, compromettendone di fatto la sicurezza.
La conferma di tale tesi, del resto, proviene dallo stesso sito web gestito dal ricercatore australiano, il quale contiene oltre 1,3 milioni di record relativi a credenziali d’accesso individuate in Rete. Tra queste figurano anche quelle rese note da LulzSec nel corso degli attacchi degli scorsi mesi, così come quelle rubate a Gawker durante lo scorso mese di dicembre. Il tutto mette dunque in risalto la necessità di maggiore sicurezza e maggiore attenzione da parte delle società nelle cui mani gli utenti ripongono i propri dati personali e la propria fiducia, frequentemente infranta a causa di negligenze o piccole sviste che possono costar caro.