martedì 21 settembre 2010

Canada: sito di lotteria online rivela informazioni personali

Tipologia: fuga di dati personali
Ambito: servizi online

Nel luglio scorso il servizio offerto dal sito di lotterie online canadese PlayNow è stato temporaneamente sospeso per manutenzione e aggiornamento degli alti volumi di traffico a cui era sottoposto.
Il servizio di lotterie online è poi ripreso circa un mese dopo.

E' notizia dei giorni scorsi che la realtà dei fatti era completamente diversa e la vera motivazione della temporanea sospensione era da imputarsi a ben altro: il 15 luglio scorso, il call center della BCLC, la società che gestisce il sito di lotterie online, cominciò a ricevere telefonate da clienti che affermavano che il totale del loro conto non corrispondeva a quello che si aspettavano dovesse essere, o ancora che pareva loro di vedere i dettagli dei conti di altri clienti.
Alle 6 del pomeriggio il sito venne sospeso per analizzare il problema e porvi rimedio.
Tra le affermazioni del CEO di BCLC si legge che il sito era diventato estremamente popolare tra gli abitanti della regione del British Columbia, e per questo motivo il volume del traffico era aumentato notevolmente nel corso degli ultimi mesi.
Ad ogni buon conto, é stata inoltrata una denuncia di divulgazione di dati personali alle autorità competenti canadesi.

Nelle analisi avvenute durante il downtime dei sistemi, sono stati riscontrati 134 casi in cui un cliente non vedeva la sua situazione del conto ma bensì quella di un altro cliente anziché della sua: si sono verificati quindi degli scambi tra account.

Nota: questa situazione è del tutto simile a quella che fronteggiai diversi anni fa, durante i test funzionali di una piattaforma di servizi Internet: nei casi di elevati volumi di traffico si verificava un errore di correlazione tra l'utente che si collegava e le sue informazioni, con il risultato che veniva visualizzato il dettaglio di un conto di un altro cliente. La race condition che ne risultava si verificava perché due o più processi stavano leggendo e scrivendo dati in una struttura condivisa e il risultato finale dipendeva dall'ordine in cui venivano lanciati i processi stessi. Il problema è stato quindi risolto con un'accurata analisi del codice sorgente.

Fonte: The Vancouver Sun

Nessun commento:

Posta un commento