SmashPhone bug

Un bug di sicurezza, già risolto, nello SmashPhone di Stonex One (aggiornato) (video)

Nicola Ligas -

Siamo stati da poco contattati dall’autore del video che trovate a fine articolo, nel quale viene sommariamente descritto come fosse possibile estrapolare gli indirizzi email dei partecipanti al gioco Smash Phone, al quale Stonex ci ha invitato a giocare per essere tra i primi a poter prenotare Stonex One.

L’errore, in base a quanto mostrato, consiste nel fatto che l’ID dei partecipanti era un numero incrementale, e le mail erano in chiaro. Tramite un semplice algoritmo ricorsivo l’autore del video ha quindi estrapolato vari indirizzi mail a riprova della fattibilità del bug.

Stonex ha risposto affermando che il problema è stato risolto immediatamente, ma ovviamente non possiamo sapere né quanto tempo sia perdurato, né chi o quante email siano state carpite in questo modo.

Il rischio forse più concreto è al massimo un tentativo di phishing da parte di qualcuno che volesse spacciarsi per l’azienda nel tentativo di carpire ben più sensibili informazioni personali di un indirizzo di posta elettronica, ma considerando che il bug si riferisce al 7 maggio scorso, se non fosse vi successo nulla di sospetto nel frattempo, c’è ormai ben poco da temere.

Aggiornamento: Aggiungiamo la dichiarazione ufficiale di Stonex.

“Il girato in questione, come indicato anche nella descrizione del video stesso, fa riferimento alla vulnerabilità del gioco che avevamo creato per il lancio di Stonex One, a inizio maggio. Tuttavia, il baco è stato scoperto immediatamente ed è stato prontamente corretto. Inoltre, gran parte delle mail erano
indirizzi che abbiamo utilizzato per i vari test di rilascio.”, Vanni Casari, Product Manager di Stonex

stonexvideo