Sosasta.com: il database utenti del Groupon indiano finisce su Google

Sosasta.com: il database utenti finisce su Google

Incredibile ma vero: è sicuramente questa la reazione che si ha nel leggere il riassunto di quanto successo a Sosasta.com, sito indiano di proprietà di Groupon. L'intero database degli utenti di Sosasta è infatti finito per essere indicizzato da Google, e quindi praticamente pubblicato sul web da degli amministratori che definire un po' troppo superficiali è sicuramente poco.

Il numero di account coinvolto sarebbe pari a 300.000: nel database naturalmente username, password (in chiaro!) e indirizzi email di tutte le persone iscritte al "Groupon indiano". A scoprire il fattaccio, l'esperto in sicurezza australiano Daniel Grzelak, che si è trovato davanti alla cruda realtà mentre era invece impegnato a occuparsi non di Sosasta nello specifico, ma a cercare database pubblicamente accessibili che potessero per l'appunto contenere accoppiate di indirizzi email e password: per farlo un metodo molto semplice, quello di cercare su Google file di tipo SQL associati nella stringa di ricerca a parole come "password", "gmail" e "hotmail".

Il motivo di tutto ciò è presto detto: tra le varie attività svolte nella sua vita, Grzelak si occupa anche del sito web shouldichangemypassword.com, creato per raccogliere informazioni su account compromessi in giro per Internet, in modo da far sì che i possessori di tali credenziali d'accesso possano rendersi conto della loro violazione e prendere provvedimenti. Fatta la scoperta, il buon Daniel ha contattato anche il CEO di Groupon, Andrew Mason, il quale ha provveduto a richiamarlo nel giro di 24 ore, provvedendo nel frattempo a rimuovere il database e dare il via a un'indagine interna.

Il comunicato diffuso poi da Groupon rimarcava l'azione intrapresa, facendo allo stesso tempo sapere che la piattaforma di Sosasta è basata comunque (e fortunatamente) su dei server separati dal resto dei siti Groupon delle altre nazioni. Un piccolo sospiro di sollievo, almeno per chi non si trova in India.

Via | Risky.biz

  • shares
  • Mail