Insicurezza di Groupon

Premetto che ho effettuato alcuni acquisti tramite Groupon; mi sono sempre trovato bene, anche quando sono stato rimborsato a fatica di un acquisto che non era andato a buon fine, causa la chiusura del negozio che aveva indetto il buono.

Un mese e mezzo fa, però, ho riscontrato una grave lacuna nel sistema di sicurezza.

Ho acquistato una lava lamp, alta circa 40 cm e con le ipnotiche bolle di color rosso.

Mi collego con il mio account e la compro: per non dover inserire i codici tutte le volte, avevo registrato nella mia area personale gli estremi della carta di credito (rigorosamente revolving, al massimo si possono rubare poche decine d'euro). Poco dopo aver confermato l'acquisto ricevo una e-mail di conferma ricezione ordine. Due minuti dopo mi arriva un'altra e-mail: la conferma della prenotazione del voucher. C'è un PDF allegato. Lo apro e seguo le istruzioni. C'è scritto che devo collegarmi ad una pagina con un modulo da compilare, ma non c'è il link. Invece trovo un QRcode bello grosso. Quindi penso: ecco il link. Lo passo al cellulare, il link porta a:
http://www.groupon-partner.it/redeem/CODICE/CODICE/CODICE/CODICE
Dei quattro codici presenti, uno è il codice di sicurezza del coupon, l'altro il ref code.
Ignaro, clicco sul link e ottengo un sito con su scritto: "by brunei and sertac was here ! You don't care stupid :)"

Sbianco. Il cellulare non sembrava impestato, tra l'altro c'è anche un antivirus. Provo sul pc, con firefox e noscript: stessa cosa, il sito è defaced. Cerco informazioni: approfondendo ho scoperto che il sito è stato "bucato" quasi un anno fa. Si veda: http://www.zone-h.org/mirror/id/13237219
La home page si presenta ancora come era allora, con la firma degli hacker che lo hanno violato. Il dominio appartiene ad un tale di Manciano (verificalo qui: http://www.nic.it/web-whois/index.jsf?set_language=it) ed è stato rinnovato poche settimane prima.

Alla fine ho riscattato il coupon usando un link trovato spulciando l'email, che porta a: http://www.formgroupon.it/763-lava-lamp.html. Anche lì ho riscontrato degli errori, ma in questo caso si tratta "solo" del vedere l'intera query sql di inserimento dati in chiaro, in testa alla pagina. Non che sia proprio un rischio per la sicurezza (anche se è un grave errore di programmazione) ma fa sorgere qualche dubbio riguardo la vulnerabilità nei confronti di attacchi di tipo XSS o SQL injection.

Ho scritto subito all'indirizzo info@groupon.it per segnalare dettagliatamente entrambi i problemi di sicurezza. Mi hanno risposto il giorno dopo, dicendo che avevano cancellato i dati della carta di credito dal mio account e che l'ordine sarebbe stato processato. In effetti ho ricevuto la lampada, ma non era certo la risposta che mi aspettavo. Non avevo richiesto la cancellazione dei dati, ma segnalato degli errori.

Ho scritto di nuovo per far notare questa cosa, ma a tutt'oggi, dopo un mese e mezzo, nessuno si è degnato di rispondere.

Qualche giorno fa ho acquistato un altro oggetto su Groupon. Stessa storia: i QRcode collegano al solito sito che, ovviamente, è ancora nello stesso stato.

Insomma, è possibile che non riescano almeno a togliere quei QRcode dall'email e dal PDF? Siamo sicuri che rispettino il punto 4 della loro Informativa sulla privacy? Io non penso.

Non voglio scoraggiare nessuno ad acquistare online, ma se un soggetto di queste dimensioni non presta attenzione neanche alle segnalazioni degli utenti... non è così che si fa e-commerce.

Commenti

E cosa dire sul fatto che i dati della carta di credito rimangono memorizzati nell'account e non è possibile cancellarli? Se qualcuno riesce ad entrare nel mio account Groupon può acquistare quello che vuole. Non è come su Amazon che, se vuoi, i dati della carta di credito li puoi cancellare o, se cambi l'indirizzo, ti richiede tutti i dati della carta di credito, in Groupon chi entra nel mio account può fare anche la modifica dell'indirizzo senza che vengano richiesti i dati della carta di credito (tanto meno del CVV). La sicurezza di Groupon è pessima!!! E quel che è peggio, fanno i finiti tonti. Internet è piena di gente che chiede di cancellare dal proprio account Groupon i dati della carta di credito e la risposta standard che danno è la seguente: --------------------------------------------------- Ciao XXXX, in nessun momento i dati della tua carta restano registrati sul nostro sito. Sono solo memorizzati sulla tua pagina personale Groupon. Non vuoi che restino memorizzati? Ecco alcuni consigli: - Non effettuare un login automatico: flag su memorizza su questo computer - Cancella la cronologia e cache del tuo computer - Per ulteriori problemi contattaci tramite il nostro contact us http://contactus.groupon.it Alcuni consigli generali: - Utilizzare un login automatico solo sul proprio pc essendo sicuri di essere gli unici ad utilizzarlo - Non lasciare la pagina log in aperta se si accede da un Internet Point - Utilizzare account individuali e non “condivisi” con altre persone -------------------------------------------------- Come si fa a dare risposte così ad una richiesta precisa come quella di "CANCELLARE I DATI DELLA CARTA DI CREDITO DAL PROPRIO ACCOUNT" ??? La sicurezza di Groupon è pessima.

Voglio che cancelliate i miei dati. Date la possibilità di registrare o meno i dati della carta. Non comprerò mai più nulla qui.

Pretendo la cancellazione dei dati della mia carta di credito. Ho comprato, per errore, un orologio da uomo che non mi serve. Anche groupon, come tutte le aziende serie, deve richiedere i dati della carta di credito ogni volta che si fa un acquisto. Leggendo le faq si consigliava di non memorizzara l'account su l cellulare, chiudere ls pagina, utilizzare un computer fisso...ecc... Non sarebbe più semplice utilizzare lo stesso metodo di amazon? Imparate a diventare seri. A questo punto sono costretta a bloccare la mia carta e a rifarne un'altra che non userò più du groupon.

Occhio a dare i vostri dati della carta di credito sui vari siti, meglio usare servizi come paypal, e attenti anche all'incremento di tentativi di phishing che sta avvenendo negli ultimi mesi via mail!

Aggiungi un commento