Adesso che è tutto sistemato e la falla è stata forse chiusa, se ne può parlare: i dati dei clienti dello store on line Vodafone sono stati accessibili pubblicamente a causa di un errore. Non tutti i dati e non tutti di i clienti per fortuna, ma una discreta quantità di dati di chi ha aderito ad offerte on line.

Potrebbero esserci altri bug altrettanto gravi (indirizzi, numeri di telefono, ecc) ma considerando che chiusa la falla non hanno nemmeno ringraziato, lascerò che sia Vodafone a scoprirseli da sola.

Tornando i dati pubblicamente disponibili on line: nome, cognome, data e luogo di nascita, codice fiscale o partita Iva, offerta sottoscritta, piano telefonico, eventuale numero telefonico da ‘portare’ in Vodafone, insomma una serie di dati personali pubblicamente accessibili a chiunque.

C’è Mauro che ha preso una ricaricabile, c’è Sergio che grazie alla chiavetta 28.8 troverà una sim omaggio da 5 euro, c’è Margherita che ha portato il suo 333 in Vodafone. E l’elenco potrebbe continuare per ore… anche se, come detto, dopo la mia segnalazione Vodafone ha chiuso questa falla.

Cosa è successo? I clienti che sottoscrivono un’offerta via Web ricevono un documento in PDF chiamato PDA (proposta di acquisto) che riassume l’offerta scelta dal cliente e i suoi dati personali principali.

Il testo della PDA è il seguente:

“Milano, xx/yy/2011
Gentile Cliente,
complimenti per aver aderito all’offerta di portabilita’. Come concordato in occasione del contatto con il nostro Servizio Clienti, ti consegniamo tutto quello che ti occorre per entrare in Vodafone compresa una nuova sim su cui a portabilita’ avvenuta verra’ attivato il tuo attuale numero. Di seguito troverai le informazioni relative al contratto e ai dati da te forniti a Vodafone con la registrazione
telefonica:
Nome e Cognome: XXXXX
Data e Luogo di nascita: xx/yy/zzzz XXXXX
Codice fiscale/Partita Iva: XXXXX
Numero di Cellulare da portare in Vodafone: XXXXX
Piano Telefonico: Vodafone 10
Offerta sottoscritta: Passa a Vodafone Ricaricabile

Ti chiediamo di verificare attentamente i dati sopra indicati e, in caso di incongruenza, di inviare un sms al numero breve gratuito 190 con IDPRATICA e la parola “Ricontatto” per essere richiamato da un operatore Vodafone.
Servizio Clienti Vodafone” seguito dalle condizioni contrattuali.

Il documento PDA è pubblicato on line (il server ha IP 213.92.46.234) con un nome standard (Welcome_A1234567.pdf dove 1234567 è un numero progressivo, citato con IDPRATICA nella PDA), il cliente Vodafone on line clicca e vede il suo PDF.

L’errore è dei più banali…. Cambiando i numeri progressivi del nome file non esisteva nessun blocco:  bastava inserire il link cambiando i numeri dell’IDPRATICA per accedere alle PDA dei diversi clienti. Welcome_A1234567.pdf, Welcome_A1234568.pdf, Welcome_A1234569.pdf e così via.

Al momento della mia segnalazione a Vodafone, l’ID delle PDA era a circa 72mila, per cui nella peggiore delle ipotesi le PDA finite on line riguardavano 72mila clienti on line.

Se per caso avete sottoscritto un’offerta on line con Vodafone, il consiglio è di chiedere a Vodafone quali misure abbia preso per evitare che capiti ancora e di tenere sotto controllo eventuali attività sospette legate ai vostri account.

[update ore 11 del 21 settembre: vedo che anche Stefano aveva segnalato a Vodafone il problema e che anche lui non è stato ringraziato. Che dire, complimenti alla scarsa riconoscenza di Vodafone, erano troppo impegnati a regalare Smart Android ai blogger per ringraziare?]

[update] Curioso, una cosa simile è successa a Vodafone in Australia dove però è intervenuto il garante Privacy