18/06/2004 10:00
MicroGame denuncia una grave vulnerabilita' nelle scommesse telematiche di SNAI
--------------------------------------------------------------------------------
Il service provider specializzato in scommesse MicroGame porta alla luce delle presunte gravi carenze nella organizzazione informatica che SNAI ha messo in piedi per supportare le scommesse telematiche. Presso il sito SNAI GiocaSport.biz, infatti, sarebbe possibile accedere al saldo del conto scommesse senza che venga digitato alcun "pin" personale, semplicemente inserendo il numero della carta GiocaSport (numero, secondo MicroGame, facilmente recuperabile anche senza sapere a chi appartiene). Questa vulnerabilita', oltre ad aprire seri problemi con la legislazione sulla Privacy, permette ad un malintenzionato di bloccare completamente, se volesse, i conti di uno o piu' giocatori (semplicemente inserendo 3 volte un PIN errato).
Abbiamo voluto anche testare personalmente uno dei conti indicati da MicroGame ed effettivamente ci e' stato possibile accedere in pochi secondi, e senza alcuna password di accesso, ad un conto aperto da una agenzia SNAI (20041) di Lecce. Non solo, abbiamo aggiunto a caso alcuni numeri alla carta per provarne una diversa...e siamo entrati nel conto di un giocatore di Benevento, e poi.. in quello di un giocatore di Salerno! Una situazione certamente da "sanare" quanto prima da parte di SNAI.
COMUNICATO STAMPA
Benevento, 18 giugno 2004
Oggetto:
Vulnerabilità grave nella sicurezza del sistema telematico GiocaSport di SNAI di tipo DOS (Denial Of Service) via WEB ed SMS
Il Security System & Network Administration team di Microgame, da sempre particolarmente attento alle problematiche connesse alla sicurezza ed alla privacy delle informazioni ha individuato una vulnerabilità grave nella sicurezza del sistema telematico GiocaSport di SNAI che porta al blocco del conto di gioco dell'utente ed alla conoscenza del saldo dello stesso ed all'individuazione del concessionario che ha attivato il conto.
Tale vulnerabilità di tipo DOS (Denial Of Service) è stata da tempo individuata da Microgame che mantenendo la dovuta riservatezza ha provveduto ad informare la SNAI e l'Amministrazione autonoma dei monopoli di Stato chiedendo di intervenire prontamente per tutelare il mercato degli utenti del servizio GiocaSport di SNAI.
Non avendo avuto riscontro alcuno, ci vediamo costretti ns malgrado a rendere pubblica tale informazione al fine di agire con la massima diligenza nel tutelare gli interessi degli utenti del mercato telematico, settore in cui siamo da tempo fortemente impegnati come service provider specializzato.
VULNERABILITA GRAVI DELLA SICUREZZA INFORMATICA E DELLA PRIVACY Servizio Web
Il sito www.giocasport.biz , consente senza PIN di accedere ai saldi dei conti di gioco di tutti gli scommettitori di tutti i Concessionari serviti dal service provider Snai tramite Festa essendo tali conti identificati in maniera numerica e progressiva.
Pertanto partendo da un numero di conto (card) è possibile variando alcune cifre, ad esempio le ultime, "spostarsi" su altri conti di gioco di altri utenti
Inoltre effettuando su questi conti delle operazioni che richiedono il PIN ed inserendone uno a caso, dopo 3 tentativi errati il sistema blocca il relativo conto ad insaputa del titolare.
Esempio:
se si prova ad entrare sul sito
www.giocasport.biz utilizzando il conto 6031980070099064, senza mettere il pin si può subito visualizzare il saldo e il nome del Concessionario che lo ha attivato (Benevento). Lo stesso dicasi se si prova ad accedere utilizzando il conto 6031980070099065 (Benevento) oppure 6031980070098004 (Lecce). Effettuando inoltre alcune operazioni sui suddetti conti ed inserendo a richiesta un PIN errato si provoca dopo 3 tentativi il blocco del conto stesso ad insaputa del vero titolare che non può quindi accedere ai relativi servizi.
Servizio SMS
Il nuovo servizio di Snai per scommettere via SMS prevede l'abilitazione dell'utente al servizio semplicemente mandando in messaggio SMS ad un determinato numero ed indicando SOLO il numero del proprio conto (card) e non anche il PIN.
Il numero di conto (card) per quanto detto in precedenza è facilmente individuabile. E' quindi possibile bloccare l'utilizzo del servizio di gioco via SMS ad un utente semplicemente indicando il numero del suo conto (card) senza conoscere il PIN ed inviando un SMS per l'abilitazione da un qualunque cellulare.
Possibili rimedi
Le vulnerabilità di cui sopra espongono il fianco ad attacchi organizzati che mediante un opportuno software possono "scannerizzare" tutti i conti attivi e bloccarli o renderne pubblico il saldo.
Occorre che il service provider Snai modifichi la propria piattaforma applicativa per ovviare ai problemi di sicurezza illustrati e la renda conforme alle normative vigenti in materia di sicurezza e privacy.
Nel frattempo gli utenti per tutelarsi possono richiedere l'immediato blocco del conto alla Snai o al Concessionario presso il quale hanno attivato i conto ed il rimborso del relativo saldo.
E gradita l'occasione per porgere distinti saluti
Microgame
Security, System & Network Administration team
