18app, studente riesce ad hackerare il sito. Ma poi collabora per risolvere il problema

Marcello G.
Di Marcello G.

studente 18 anni hacker 18app sito bonus cultura

Il bonus cultura di €500 per i 18enni continua a far parlare di sé e non sempre per cose positive; questa è proprio una di quelle volte. Aldilà del merito di aver messo a disposizione dei neo maggiorenni una cospicua somma per il proprio ‘aggiornamento culturale’, sin dall’inizio dell’operazione bonus in molti si sono adoperati per studiare le possibili falle di 18app, il sito ufficiale sui cui registrarsi per ottenere i buoni acquisto.

Già nelle scorse settimane avevamo parlato di come, decine di utenti, stessero studiando i sistemi più ingegnosi per aggirare il sistema, dalla ‘rigenerazione’ dei voucher già spesi all’individuazione di articoli non proprio culturali ma ugualmente acquistabili con il bonus. Ora, però, c’è un nuovo capitolo della guerra a 18app; perché un ragazzo – classe ’98, quindi anche lui beneficiario del bonus - ha trovato il modo di hackerare l’applicazione, isolando delle vulnerabilità nel codice che governa il sito. Una serie di parametri – segnalati in un post pubblicato sul suo blog e riportati dal sito Tech Economy– che se usati in maniera fraudolenta potevano alterare l’intero sistema di erogazione del bonus.

Ma Luca (questo il suo nome) per fortuna è un pirata informatico dal volto buono e, dopo la scoperta, ha dato la sua disponibilità ai gestori e agli sviluppatori del portale per collaborare assieme alla risoluzione dei problemi. Noi di Skuola.net lo abbiamo ‘intercettato’ per farci spiegare la situazione – nella maniera più chiara possibile - direttamente da colui che ha scoperto gli errori.

La notizia è di quelle bomba: 18app aveva una falla di sicurezza e il primo ad accorgersene è stato un ‘semplice’ utente. Ma in che cosa consisteva?


In verità si trattava di più falle di sicurezza: la prima, quella a mio parere più interessante, è relativa ad una problematica nella gestione dell'autenticazione che consentiva ad un malintenzionato di modificare l’ID dell’utente e creare coupon utilizzando la disponibilità residua dei bonus altrui. In poche parole: generare buoni infiniti. Sempre correlata a questa prima vulnerabilità, c’era anche la possibilità di eliminare i coupon generati da altri utenti, compromettendo l'integrità del portale. L'ultima vulnerabilità che ho segnalato, infine, riguarda le informazioni sensibili e la privacy degli utenti: sembra infatti che con un breve richiesta chiunque avrebbe potuto ricavare i dati anagrafici di altri utenti.

Come ti sei accorto di questo bug? E' stata una casualità oppure ti sei messo d'impegno?


Sono un appassionato di sicurezza da molto tempo e quindi, sì, c'è stata da parte mia la volontà iniziale di mettermi a studiare l'architettura del sito 18app per poter individuarne le problematiche. Diciamo che questo ha molto a che fare con l'idea della sfida (tipica del mondo hacker): ho voluto cercare un modo per poter superare il limite dei 500 euro anche se poi, una volta riuscito, mi sono voluto fermare.

Sembra però che tu non abbia usato questa falla a tuo vantaggio bensì hai comunicato ai responsabili della piattaforma il problema!


È andata proprio così. Il termine adatto per indicare questa pratica è "Responsible Disclosure". In poche parole mi sono messo in contatto attraverso il CERT Nazionale (Computer Emergency Response Team, una sorta di community che si occupa di sicurezza informatica) direttamente con Sogei, l'ente che si è occupato della pubblicazione del sito 18app.it al fine di poter collaborare alla risoluzione del problema.

Quindi potremmo definirti un ‘hacker dal cuore buono’…


Preferirei essere chiamato "Ethical Hacker”, avendo deciso di segnalare ‘eticamente’ le vulnerabilità al responsabile della piattaforma

Ma oggi secondo te la piattaforma è sicura o altri hacker, magari dagli intenti meno nobili, possono tentare un nuovo assalto?


Nessuna piattaforma è mai sicura! La ricerca in sicurezza informatica è in costante progresso e per questo motivo potrebbero esserci ancora moltissime vulnerabilità ‘nascoste’ nel portale.

Per dovere di cronaca dobbiamo segnalare come le scoperte di Luca risalgono al 14 novembre scorso quando, con il supporto dell’esperto Paolo Stagno - fondatore del progetto italiano VoidSec - ha deciso di riportare le falle in maniera etica a SOGEI, la società che gestisce il sistema informativo del MEF e che ha curato anche la pubblicazione del sito 18app.italia.it.

Commenti
Skuola | TV
La Skuola Tv sta per tornare

Dopo mesi di vacanza, siamo pronti per ritornare a farvi compagnia!

4 ottobre 2017 ore 16:30

Segui la diretta