1 day ago
59
Ci sono delle novità per il caso Intesa Sanpaolo. Le app iOS e Android della banca sono state aggiornate per risolvere le anomalie riscontrate, tra cui il famoso file audio del rutto. Ciò detto, durante questa operazione di “pulizia” sarebbe stato scoperto un problema ben più grave: la presenza di un bollettino MAV contenente i dati personali di un cliente. Utilizziamo il condizionale perché non abbiamo potuto verificare la presenza di tale file analizzando direttamente l'app.
LA SCOPERTA
Tutto è iniziato quando un'azienda specializzata in analisi delle applicazioni ha segnalato la presenza, nel payload dell’app di Intesa Sanpaolo, di un file audio MP3 contenente l’effetto sonoro di un rutto. Un elemento che, pur essendo curioso e goliardico, non è raro trovare nei software: molti sviluppatori lasciano easter egg o firme personali nel codice.
Oltre all’audio, è stata individuata anche un’immagine codificata in Base64 che, decodificata, si è rivelata essere la fotografia di una modella. Entrambi i file sono stati eliminati nell’ultimo aggiornamento dell’app, rilasciato nei giorni scorsi.
È qui che emerge il vero problema: tra i file rimossi figurerebbe, stando alle analisi fatte da Emerge Tools, anche un documento ben più grave. Si tratterebbe di un bollettino MAV contenente dati sensibili di un cliente reale, come nome, cognome e altre informazioni personali, distribuito accidentalmente all’interno del pacchetto dell’applicazione.
UNA DATA BREACH EVITABILE
La presenza del bollettino MAV è una chiara violazione delle normative sulla protezione dei dati personali. Sebbene non sia chiaro come e quando questo file sia stato incluso nell’app, il fatto che sia stato scoperto solo durante una revisione successiva solleva dubbi sull’accuratezza dei controlli effettuati da Intesa Sanpaolo e dalle aziende coinvolte nello sviluppo del software.
Secondo le analisi, il bollettino risalirebbe al 2016, un periodo in cui il codice dell’app potrebbe essere stato gestito da fornitori terzi. Questo genere di errore è un esempio lampante di come la mancanza di un processo strutturato di revisione del codice possa portare a esposizioni gravi e potenzialmente dannose per i clienti.
Well can't say we've had an app react to a tweet so quickly 🥸
The @intesasanpaolo cut a new release today. What changed?
The ONLY change was removing 3 assets, the rutto.mp3 (burp) & the base 64 image of a model. One other image was removed that we're not going to share pic.twitter.com/IlUwfHv4bP
In contesti come quello bancario, la presenza di dati reali nei file di test è assolutamente inaccettabile. Gli sviluppatori dovrebbero utilizzare dati fittizi per simulare operazioni o funzionalità. Inoltre, i file di test non dovrebbero mai essere inclusi nei pacchetti distribuiti agli utenti finali.
Il caso in questione mette in evidenza una mancanza di attenzione nei processi di sviluppo e rilascio del software. Non solo il file audio e l’immagine rappresentano una distrazione, ma l'inclusione di un documento reale configurerebbe un vero e proprio data breach.
LE IMPLICAZIONI
Ora la banca si trova ad affrontare le implicazioni di questo incidente. Sebbene l’aggiornamento abbia rimosso i file incriminati, è probabile che il file MAV sia rimasto accessibile per mesi, se non anni, su migliaia di dispositivi.
Inoltre, questo evento potrebbe non essere un caso isolato: molte app di grandi aziende potrebbero nascondere file inutilizzati o non necessari che non vengono rimossi per negligenza o per una mancata revisione approfondita del codice.
Questo caso dovrebbe servire da lezione per tutte le aziende, soprattutto quelle che operano in settori critici come quello finanziario. La revisione del codice, senza mezzi termini, deve essere il perno per garantire la sicurezza e la privacy degli utenti.
Intesa Sanpaolo dovrà fornire chiarimenti su come questo file sia stato incluso nell’app e adottare misure per prevenire incidenti simili in futuro. In tutto questo tutta l'industria tech dovrebbe riflettere sull’importanza di processi di sviluppo più rigorosi e trasparenti.
English (US)