venerdì, Dicembre 27, 2024

RUTTO LIBERO IN BANCA INTESA SANPAOLO

Share

Il Go Go Bank è servito

L’altro giorno sono entrato nella filiale di zona di Banca Intesa Sanpaolo per un prelievo dal bancomat, quando improvvisamente il mio cellulare ha emesso un rumore simile a un rutto di proporzioni bibliche. Man mano che entravano altri clienti, anche loro sembravano che stessero emettendo rutti liberi Go Go Bank[^1].

I fatti

Emerge Tools segnala che ci sono problemi nell’applicazione di Banca Intesa Sanpaolo, in particolare riguardo alla dimensione eccessiva dell’app, che è di circa 700 MB. Questo spazio è occupato da risorse e inutili framework funzionali, inoltre, è stata trovata una sorpresa inaspettata: un file chiamato rutto.mp3.

RICORDA: più c’è codice sorgente e applicazioni di terze parti più è vulnerabile l’infrastruttura informatica.

Si parla tanto di sicurezza ma, si adottano tecnologie che non sono state sviluppate internamente all’IT bancario. Inoltre, l’uso di tecnologie superflue compromette la sicurezza dell’infrastruttura tecnologica. E poi… i controlli dove stanno?

Non possiamo escludere che rutto.mp3 possa mascherarsi come un file innocuo e fungere da cavallo di Troia, così come qualsiasi altra piccola e apparentemente insignificante riga di codice che potrebbe contenere vulnerabilità di sicurezza.

Puoi trovare numerosi articoli sull’argomento, che si concentrano sul contenuto goliardico del programmatore e sulla presenza di un easter egg. Tuttavia, la questione è ben più grave: si è verificata una violazione dei dati, poiché all’interno dell’app era presente la foto di un bollettino MAV di un cliente, contenente tutti i suoi dati personali.

Pertanto, il file rutto.mp3 è solo uno specchietto per le allodole, mentre all’interno dell’app è stata evidenziata una vera e propria violazione dati (Data Breach).

rutto1 - Rutto libero in Banca Intesa Sanpaolo
Emerge Tools – contenuto dove si evince la presenza del rutto.mp3[^2].
rutto2 - Rutto libero in Banca Intesa Sanpaolo
Emerge Tools – contenunto foto_300kb.txt, che si è rivelato essere un’immagine codificata in base64[^2].

Interviene il Garante della Privacy

Da un lato, la banca minimizza la situazione, mentre il Garante della Privacy non ci sta e ha assegnato 20 giorni a Intesa San Paolo per informare i clienti che hanno subito il data breach.

L’Autorità ritiene infatti, diversamente da quanto valutato dalla Banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).

Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.

Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto. Fonte Garante della Privacy

Siamo tutti tranquilli?

A questo punto l’app di Banca Intesa merita un controllino con le modalità già esposte nell’interessante articolo che invito a leggere LA FREGATURA DEI BUONI PASTO.

Analisi presenza di Tracker

I tracker presenti nelle App possono essere verificati dall’applicativo Exodus scaricabile da F-Droid, Exodus mostrerà per ogni applicazione installata i permessi che richiede e l’eventuale presenza di elementi traccianti.

App Tracker Permessi Exodus Tracker Utilizzato
Intesa Sanpaolo Mobile 6 64 link 1, 2, 3, 4, 5, 6

Cosa fanno i Tracker

Di seguito sono numerati e riportati i Tracker utilizzati con una breve descrizione delle loro funzionalità.

  1. AltBeacon – Consente ai dispositivi Android di utilizzare i beacon proprio come per i dispositivi iOS. Un’App può richiedere di ricevere notifiche quando uno o più beacon appaiono o scompaiono. Un’App può anche richiedere di ottenere un aggiornamento di gamma da uno o più beacon. Consente inoltre ai dispositivi Android di inviare trasmissioni beacon, anche in background. Per approfondimenti, leggi l’articolo Beacon non è Bacon e fa male alla Privacy
  2. Dynatrace [analytics] pagina web del tracker.
  3. Google CrashLytics [crash reporting] pagina web del tracker.
  4. Google Firebase Analytics [analytics] pagina web del tracker – Firebase offre funzionalità di analisi, database, messaggistica, crash report.
  5. Salesforce Marketing Cloud [marketing]pagina web del tracker – MobilePush ti consente di creare e inviare messaggi push mirati basati sui dati dei consumatori cross-channel per incoraggiare l’utilizzo delle app e fornire un ROI aumentato. Con MobilePush, visualizzerai come gli utenti navigano attraverso la tua app. Dai prodotti che visualizzano fino alla quantità di tempo trascorso su ogni pagina, ottieni una finestra su come gli utenti interagiscono con la tua app attraverso i loro smartphone e tablet. Perché MobilePush è costruito sul Marketing Cloud.
  6. Tealium [analytics] pagina web del tracker.

Analisi delle connessioni

Sono disponibili due applicazioni che permettono di analizzare il traffico dati (colloquio con i server: dominio ed indirizzo IP):

  1. PCAPdroid – è un’App per la privacy che consente di monitorare e analizzare le connessioni effettuate dalle altre App del dispositivo.
  2. Rethink: DNS + Firewall + VPN per la parte di monitoraggio, tiene sotto controllo il traffico Internet in entrata e in uscita.

Il risultato ottenuto è raccapricciante: i nostri dati sono esposti al di fuori dell’Unione Europea proprio perché ci sono tanti elementi inutili, come tracker e simili. Garante, cosa fai? Permetti che i nostri dati escano al di fuori dell’Unione Europea? Così facendo, anche il sistema bancario italiano è controllato, oltre a noi umili clienti. Domani sarà l’analisi degli stessi a definire il grado di solvibilità di un istituto bancario di una nazione, basandosi sulle nostre app installate.

rutto3 - Rutto libero in Banca Intesa Sanpaolo
Rethink – colloquio con i server prima dell’autenticazione app Banca Intesa i domini interrogati per la stragrande maggioranza sono negli Stati Uniti.

Tutto è bene quel che finisce bene

Non proprio perchè il sistema app deve essere RIFORMATO soprattuto se riguarda i dati sensibili individuali e nazionali.

Alle prossime con la Banca Latrina con lo scoreggione libero.


Il presente articolo è stato redatto con software e sistema operativo libero.
[^1]: Diciamolo chiaramente: il Go Go Bank sta a Go Go Bar dizione per definire locali notturni famosi per l’intrattenimento e, in molti casi, per i servizi di compagnia, trasformandosi in un ambiente che può essere considerato un puttanario. Chiaramente, l’ambiente è il software installato sui cellulari dei clienti della banca, che contiene elementi indesiderati e altri problemi più gravi.
[^2]: Fonte Emerge Tools post X ex Twitter.

Read more

Local News

Vai alla barra degli strumenti