Adesso che è tutto sistemato e la falla è stata forse chiusa, se ne può parlare: i dati dei clienti dello store on line Vodafone sono stati accessibili pubblicamente a causa di un errore. Non tutti i dati e non tutti di i clienti per fortuna, ma una discreta quantità di dati di chi ha aderito ad offerte on line.
Potrebbero esserci altri bug altrettanto gravi (indirizzi, numeri di telefono, ecc) ma considerando che chiusa la falla non hanno nemmeno ringraziato, lascerò che sia Vodafone a scoprirseli da sola.
Tornando i dati pubblicamente disponibili on line: nome, cognome, data e luogo di nascita, codice fiscale o partita Iva, offerta sottoscritta, piano telefonico, eventuale numero telefonico da ‘portare’ in Vodafone, insomma una serie di dati personali pubblicamente accessibili a chiunque.
C’è Mauro che ha preso una ricaricabile, c’è Sergio che grazie alla chiavetta 28.8 troverà una sim omaggio da 5 euro, c’è Margherita che ha portato il suo 333 in Vodafone. E l’elenco potrebbe continuare per ore… anche se, come detto, dopo la mia segnalazione Vodafone ha chiuso questa falla.
Cosa è successo? I clienti che sottoscrivono un’offerta via Web ricevono un documento in PDF chiamato PDA (proposta di acquisto) che riassume l’offerta scelta dal cliente e i suoi dati personali principali.
Il testo della PDA è il seguente:
“Milano, xx/yy/2011
Gentile Cliente,
complimenti per aver aderito all’offerta di portabilita’. Come concordato in occasione del contatto con il nostro Servizio Clienti, ti consegniamo tutto quello che ti occorre per entrare in Vodafone compresa una nuova sim su cui a portabilita’ avvenuta verra’ attivato il tuo attuale numero. Di seguito troverai le informazioni relative al contratto e ai dati da te forniti a Vodafone con la registrazione
telefonica:
Nome e Cognome: XXXXX
Data e Luogo di nascita: xx/yy/zzzz XXXXX
Codice fiscale/Partita Iva: XXXXX
Numero di Cellulare da portare in Vodafone: XXXXX
Piano Telefonico: Vodafone 10
Offerta sottoscritta: Passa a Vodafone Ricaricabile
Ti chiediamo di verificare attentamente i dati sopra indicati e, in caso di incongruenza, di inviare un sms al numero breve gratuito 190 con IDPRATICA e la parola “Ricontatto” per essere richiamato da un operatore Vodafone.
Servizio Clienti Vodafone” seguito dalle condizioni contrattuali.
Il documento PDA è pubblicato on line (il server ha IP 213.92.46.234) con un nome standard (Welcome_A1234567.pdf dove 1234567 è un numero progressivo, citato con IDPRATICA nella PDA), il cliente Vodafone on line clicca e vede il suo PDF.
L’errore è dei più banali…. Cambiando i numeri progressivi del nome file non esisteva nessun blocco: bastava inserire il link cambiando i numeri dell’IDPRATICA per accedere alle PDA dei diversi clienti. Welcome_A1234567.pdf, Welcome_A1234568.pdf, Welcome_A1234569.pdf e così via.
Al momento della mia segnalazione a Vodafone, l’ID delle PDA era a circa 72mila, per cui nella peggiore delle ipotesi le PDA finite on line riguardavano 72mila clienti on line.
Se per caso avete sottoscritto un’offerta on line con Vodafone, il consiglio è di chiedere a Vodafone quali misure abbia preso per evitare che capiti ancora e di tenere sotto controllo eventuali attività sospette legate ai vostri account.
[update ore 11 del 21 settembre: vedo che anche Stefano aveva segnalato a Vodafone il problema e che anche lui non è stato ringraziato. Che dire, complimenti alla scarsa riconoscenza di Vodafone, erano troppo impegnati a regalare Smart Android ai blogger per ringraziare?]
[update] Curioso, una cosa simile è successa a Vodafone in Australia dove però è intervenuto il garante Privacy
by Napolux
22 Set 2011 at 10:47
Buttana EVA!
Cmq credo che in Italia moltissimi servizi online siano gestiti da incapaci/ignoranti/menefreghisti.
by Stefano
22 Set 2011 at 10:54
Ecco come è andata nel dettaglio: http://www.stefanotesti.com/2011/09/21/shop-vodafone-it-gravi-problemi-di-sicurezza-e-sassolini-nelle-scarpe/
Pingback
by Shop Vodafone.it: gravi problemi di sicurezza e sassolini nelle scarpe
22 Set 2011 at 11:12
[…] l’8 settembre quasi per gioco, e ovviamente l’ho subito segnalato al gestore stesso. E non sono stato l’unico. Quello che leggerete qui di seguito fa riferimento ad avvenimenti accaduti negli ultimi […]
by Andrea Beggi
22 Set 2011 at 11:14
Il link te lo potevi risparmiare, comunque. Io non c’entro e non aggiunge nulla al merito del post.
by Maxkava
22 Set 2011 at 11:18
Andrea, non ho capito “il link te lo potevi risparmiare”… è un link ad un post che mostra le attività di pr vodafone on line ed è funzionale alla frase.
by Michi
22 Set 2011 at 11:26
Tranquillo Max, credo il razionale del commento di abeggi sia dovuto solo a motivazioni di ubiquità e di visibilità del personaggio.
by mafe
22 Set 2011 at 15:26
Max, hai abbastanza esperienza di PR e comunicazione in una telco per sapere che il concetto di “troppo impegnati” non esiste; dare in prova un telefono a blogger competenti non è un’attività così time consuming da impedire a un’altra funzione (il customer care) di seguire, come è stato fatto, un problema tecnico e di ringraziare chi ha contribuito a risolverlo.
[disclaimer: Vodafone è un mio cliente, ma questo commento è a titolo personale)
by Maxkava
22 Set 2011 at 21:34
Mafe, il commento – mi scuso se non fosse chiaro – era sarcastico: tu azienda hai tempo di fare le pr ‘banali’ (mandare cellulari) e non dedichi la giusta attenzione a chi ti ha ‘salvato’ da guai più grossi? Il concetto che volevo sottolineare è che hanno avuto una falla enorme (io stimo tra le centinaia e le migliaia di PDA disponibili a chiunque) che è stata chiusa grazie alle segnalazioni esterne. Ringraziare mi sembrava il minimo (e il tweet a scoppio ritardato è imvho una toppa peggiore del buco).
by mafe
23 Set 2011 at 09:53
Maxkava, lo so che era sarcastico, ma non posso pensare che tu creda davvero che risolvere un problema di security sia un tema di PR online. Sul pretendere pubblicamente i ringraziamenti poi ho una mia idea, non la esprimo perché penso si intuisca.
by Maxkava
23 Set 2011 at 12:14
L’apertura verso la comunicazione on line deve esserci a tutti i livelli, non solo a quelli che ti fanno comodo. Vodafone spende milioni di euro tra consulenze esterne e strutture interne di comunicazione, ma mostra – in questo caso – di non aver abbracciato la filosofia che va predicando. Se ti presenti come azienda attenta/aperta/2.0/eccecc, lo devi fare come ‘filosofia’ aziendale, non solo quando e dove ti fa comodo (per il business). Ad ogni modo possono anche non ringraziare pubblicamente, concordo: dovrebbero però *ringraziare*, privato o pubblico che sia. Non l’hanno fatto, ed è un errore grave.