Premetto che ho effettuato alcuni acquisti tramite Groupon; mi sono sempre trovato bene, anche quando sono stato rimborsato a fatica di un acquisto che non era andato a buon fine, causa la chiusura del negozio che aveva indetto il buono.
Un mese e mezzo fa, però, ho riscontrato una grave lacuna nel sistema di sicurezza.
Ho acquistato una lava lamp, alta circa 40 cm e con le ipnotiche bolle di color rosso.
Mi collego con il mio account e la compro: per non dover inserire i codici tutte le volte, avevo registrato nella mia area personale gli estremi della carta di credito (rigorosamente revolving, al massimo si possono rubare poche decine d'euro). Poco dopo aver confermato l'acquisto ricevo una e-mail di conferma ricezione ordine. Due minuti dopo mi arriva un'altra e-mail: la conferma della prenotazione del voucher. C'è un PDF allegato. Lo apro e seguo le istruzioni. C'è scritto che devo collegarmi ad una pagina con un modulo da compilare, ma non c'è il link. Invece trovo un QRcode bello grosso. Quindi penso: ecco il link. Lo passo al cellulare, il link porta a:
http://www.groupon-partner.it/redeem/CODICE/CODICE/CODICE/CODICE
Dei quattro codici presenti, uno è il codice di sicurezza del coupon, l'altro il ref code.
Ignaro, clicco sul link e ottengo un sito con su scritto: "by brunei and sertac was here ! You don't care stupid :)"
Sbianco. Il cellulare non sembrava impestato, tra l'altro c'è anche un antivirus. Provo sul pc, con firefox e noscript: stessa cosa, il sito è defaced. Cerco informazioni: approfondendo ho scoperto che il sito è stato "bucato" quasi un anno fa. Si veda: http://www.zone-h.org/mirror/id/13237219
La home page si presenta ancora come era allora, con la firma degli hacker che lo hanno violato. Il dominio appartiene ad un tale di Manciano (verificalo qui: http://www.nic.it/web-whois/index.jsf?set_language=it) ed è stato rinnovato poche settimane prima.
Alla fine ho riscattato il coupon usando un link trovato spulciando l'email, che porta a: http://www.formgroupon.it/763-lava-lamp.html. Anche lì ho riscontrato degli errori, ma in questo caso si tratta "solo" del vedere l'intera query sql di inserimento dati in chiaro, in testa alla pagina. Non che sia proprio un rischio per la sicurezza (anche se è un grave errore di programmazione) ma fa sorgere qualche dubbio riguardo la vulnerabilità nei confronti di attacchi di tipo XSS o SQL injection.
Ho scritto subito all'indirizzo info@groupon.it per segnalare dettagliatamente entrambi i problemi di sicurezza. Mi hanno risposto il giorno dopo, dicendo che avevano cancellato i dati della carta di credito dal mio account e che l'ordine sarebbe stato processato. In effetti ho ricevuto la lampada, ma non era certo la risposta che mi aspettavo. Non avevo richiesto la cancellazione dei dati, ma segnalato degli errori.
Ho scritto di nuovo per far notare questa cosa, ma a tutt'oggi, dopo un mese e mezzo, nessuno si è degnato di rispondere.
Qualche giorno fa ho acquistato un altro oggetto su Groupon. Stessa storia: i QRcode collegano al solito sito che, ovviamente, è ancora nello stesso stato.
Insomma, è possibile che non riescano almeno a togliere quei QRcode dall'email e dal PDF? Siamo sicuri che rispettino il punto 4 della loro Informativa sulla privacy? Io non penso.
Non voglio scoraggiare nessuno ad acquistare online, ma se un soggetto di queste dimensioni non presta attenzione neanche alle segnalazioni degli utenti... non è così che si fa e-commerce.