I siti web di molti fornitori di telefonia mobile dell'UE non proteggono adeguatamente i dati degli utenti. L'informazione emerge da un report di Tala Security, che ha analizzato i
siti web di 13 delle principali aziende di telecomunicazioni mobili dell'UE. I nomi non sono stati divulgati nel report pubblico, tuttavia è emerso che nessuna di queste pagine web dispone almeno delle protezioni minime necessarie per essere considerata sicura.
Nonostante la mancanza di adeguate protezioni, nel corso della sottoscrizione online queste stesse telco raccolgono una quantità significativa di dati sensibili tra cui
nomi, email, indirizzi, date di nascita, numeri di passaporto, e in alcuni casi i dettagli bancari. Il rischio è che queste informazioni entrino in possesso dei criminali informatici.
Tala ha condotto
alcuni test per identificare il livello di sicurezza dei siti. Nella scala di riferimento, un punteggio di 80 indica una sicurezza ragionevole, 50 è la sufficienza minima. Dei 13 siti esaminati,
il punteggio più alto conseguito è stato 33,5 che è altamente insufficiente.
Quali sono i problemi? La risposta è nel prosieguo del report, dove si legge che tutti i siti esaminati fanno uso di
integrazioni JavaScript con codice di terze parti. In media ciascun sito ne aveva 162, ma il più alto numero su un singolo sito raggiunge 735. In media erano coinvolte 19 terze parti per ciascun sito. Tali funzioni JavaScript aprono la porta al
Cross-Site Scripting (XSS), il tipo più comune di vulnerabilità dei siti Web.
L'indagine ha rivelato altresì che nessuno dei siti Web presi in esame dispone delle
protezioni necessarie per prevenire l'esposizione involontaria dei dati e di qualsiasi pezzo di codice di terze parti in esecuzione sul sito stesso. Questo comporta che tale codice poteva essere utilizzato per "
modificare o rubare informazioni a causa di attacchi sul lato client abilitati da JavaScript", si legge nel rapporto.
Come se non bastasse, anche
i moduli usati per la raccolta dati non sono sicuri. Tali moduli fanno capo a un gran numero di domini, rivelando un'ampia condivisione dei dati, "
il 25% in più rispetto alla media globale dei top 1000 di Alexa", osserva Tala. Questo dettaglio è molto grave perché, spiega Tala, "
quando i proprietari di siti Web non riescono a proteggere i dati mentre vengono inseriti nei loro siti Web, li stanno effettivamente lasciando appesi".
C'è poi il capito della
condivisione dei dati. Nella maggior parte dei casi viene effettuata tramite applicazioni legittime. Il guaio è che non sempre il proprietario del sito Web è a conoscenza del tipo di dati che queste applicazioni avrebbero raccolto o della portata della raccolta dati. A tal riguardo i ricercatori ricordano che "
anche le app in whitelist possono essere sfruttate per esfiltrare dati, con implicazioni significative per la privacy dei dati e, per estensione, del GDPR. Sfortunatamente, la nostra analisi indica che nessuna delle telco dell'UE analizzate ha sufficiente consapevolezza del rischio".