lunedì 28 marzo 2011

Francia: le assicurazione Verspieren corregono una falla

Ambito: assicurazioni
Tipologia: fuga di informazioni personali
Tipologia: violazione della sicurezza

Alcuni mesi fa è stata scoperta una vulnerabilità nel servizio online delle assicurazioni Verspieren: una volta che un utente si era collegato con i suoi dati di accesso, poteva visualizzare i dettagli di altri clienti della compagnia di assicurazione.
La potenziale fuga di dati, presente nello spazio Verspieren Benefits, permetteva a chiunque si fosse autenticato di modificare l'URL visualizzato per inserire un altro numero di polizza (ad es. siteweb.com/clients/123 par siteweb.com/clients/124), e visualizzare così i dati di altre persone.
L'accesso a tali dati non era comunque possibile senza prima essersi autenticati con il propcio Customer ID e la relativa password.
La vulnerabilità, scoperta da ZATAZ.COM è stata immeditamente segnalata alla società che però non vi ha posto rimedio. Dopo alcuni mesi e successivamente alla pubblicazione sui media, la Verspieren ha immediatamente corretto la falla affermando che il "problema non era stato risolto in precedenza poiché l'avviso di ZATAZ era stato considerato un messaggio spam per cui non era stato preso in esame."
Altre 12 assicurazioni francesi si sono rivolte al sito di segnalazioni di sicurezza per assicurarsi di non essere vittima del medesimo problema.


Fonte: ZATAZ

Nessun commento:

Posta un commento