Saturday, December 8, 2012

Uomo avvisato...

Unicredit è la banca che uso, perché ha un ottima Genius Card, è abbastanza paranoica da bloccarmi la carta dicendomi che è stato rilevato un virus sul mio pc Asus Ubuntu Certified, ha un ottima app per Android e trovi sue filiali in ogni angolo. A parte questo, tempo fa ho mandato una mail al rappresentante che mi ha fornito la Genius Card, lasciandomi con cortesia il suo biglietto da visita, ma sembra che quello che gli hp detto non l'ha toccato.
Il fatto è questo: se sul loro sito sbagli tre volte la password  per entrare nell'area clienti, ti bloccano l'account. A quel punto devi andare in una filiale o telefonare per fartela sbloccare. Confrontandomi con altri utenti ho notato che gli username sono incrementali, cioè con molta creatività gli utenti sono numerati tipo 01, 02, 03 etc...
Cosa potrebbe fare un malintenzionato con un minimo di fantasia? Da una rete anonima (vedi Tor), magari al comando di una botnet da quattro soldi, potrebbe fare uno scriptino che da vari ip inserisce l'user id di un utente (che come detto, magari sono addirittura assegnati in ordine... per cui se x è un utente, anche x+1 è un utente, e così via, senza rischio di perdere tempo a fare tentativi a vuoto), e inserisce un po' di volte una password a cavolo... nel giro di pochi secondi, tanti utenti si ritroverebbero l'account bloccato... chissà se sarebbero così tempestivi, quelli di Unicredit, da far andare giù il loro sito  prima che passi qualche minuto e gli utenti bloccati siano davvero tanti. In ogni caso, far andare offline il proprio sito non è una cosa carina da parte di una banca agli occhi dei propri utenti... non ispira certo molta fiducia. D'altronde, non facendolo, non è che poi potrebbero riattivare in blocco tutti quegli account... il malintenzionato in questione potrebbe approfittarsene in qualche modo...

No comments:

Post a Comment