Sul sito di Cartasì c'è una brutta vulnerabilità che permette a un malintenzionato d'inserire un messaggio non autorizzato. Il rischio è che il visitatore si fidi perché si trova davvero sul sito della carta di credito, con tutti i certificati in ordine e il "via libera" del browser. Si sentirà quindi tranquillo nell'inserire dati sensibili.
Ne dà notizia il team di Accomazzi.net, una società specializzata che ha fornito anche un link dimostrativo. Funziona ancora nel momento in cui scriviamo (le 17.00 circa del 4/12/2014), ma probabilmente (speriamo) i gestori del sito interverranno presto.
Cartasì ha risposto via Twitter e affermato che "non ci sono possibilità di attacchi informatici o rischi per la sicurezza riguardo i servizi e-commerce CartaSi". In questo momento (5 dicembre 2014, 8.43) la pagina indicata non contiene più il messaggio inserito da Accomazzi.net.
"Come noteranno immediatamente i più attenti", recita il comunicato stampa di Accomazzi.net, "questo è davvero il sito di Cartasì, con tanto di certificato VeriSign che dichiara sicura la connessione e scritta verde che verifica che l'azienda è stata certificata da un'autorità. Quindi il navigatore medio non può certo immaginare che in realtà sta leggendo una pagina concepita da qualcun altro".
Secondo la nota stampa di Accomazzi.net grazie a questo errore "qualsiasi malintenzionato può truffare i navigatori con il phishing. Una situazione di particolare gravità nel periodo più caldo dell'anno per gli acquisti online".
L'attacco viene definito "impressionante" dagli esperti di Accomazzi.net, ma forse non è il caso di farsi prendere dal panico. Non abbiamo notizia di exploit che sfruttino questa falla: bisognerebbe prima sfruttare il bug sul sito per creare un messaggio ingannevole, e poi indurre l'utente a visitarlo.
Non tutti i lettori avranno riconosciuto il sito dall'immagine o dal link, ma ciò non significa che sia poco usato. Si tratta infatti di CartaSì KeyClient, "tra i più usati in Italia dai venditori web indipendenti, cioè quelli che non si appoggiano a un centro commerciale online come Amazon".
Quanto alle contromisure, Accomazzi.net raccomanda come sempre di prestare la massima attenzione a messaggi email e sui social network, non cliccare i link, "non scrivere mai in una mail le proprie credenziali di accesso (ID e password) e in generale dati sensibili", verificare che l'indirizzo URL abbia il "lucchetto verde", mantenere il browser aggiornato. Consigli che al lettore di Tom's potrebbe suonare triti e ritriti, ma mai come in questi casi ripetere è un'ottima idea. Sono ancora tanti, dopotutto, che non sono ancora consapevoli riguardo a questi argomenti.
Aggiornamento (5/12/2014): aggiunta la risposta di CartaSì, e segnalata la rimozione della pagina alterata da Accomazzi.net.