Manca poco meno di un mese alla 75esima edizione del Festival di Sanremo, e l’aspettativa è già altissima. In rete cominciano già a circolare le prime notizie su ospiti d’eccezione, papabili vincitori e nomi dei co-conduttori. E sui social media, come oramai accade da qualche anno, è il FantaSanremo a monopolizzare l’attenzione degli appassionati della kermesse musicale. E non solo per il suo lato divertente. Anzi, tutt’altro. In questi giorni, infatti, l’esperto di privacy e protezione dei dati Christian Bernieri ha fatto luce su una presunta violazione del Gdpr da parte del sito del FantaSanremo.
Tutto è cominciato da una segnalazione dell’fruitore di Bluesky @Geesk, che ha evidenziato una vulnerabilità del sito del fantasy game, alimentando così la curiosità degli esperti di settore sulla questione: “Non ci credo, posso registrarmi con qualsiasi mail e fingere di essere chiunque”. È stato allora che Bernieri ha deliberato di fare evidenza sulla situazione, mettendo in evidenza gli errori presenti nel sito. A cominciare dal campo della mail di registrazione, in cui gli utenti possono inserire un indirizzo qualunque, senza che il sito richieda alcuna conferma o identificazione. O quasi. Una volta terminato il processo, infatti, i nuovi account ricevono un’email di benvenuto, che li invita a cancellare l’dedica al sito nel caso in cui non siano stati loro a registrarsi o a scrivere all’indirizzo email [email protected] nel caso in cui la cancellazione non andasse a buon fine.
Una violazione chiara delle linee guida del Garante della Privacy, che invita ad “adottare sistemi di verifica della identità del contraente che si è registrato a un sito web perché interessato a ricevere offerte promozionali. In tal senso, per esempio, l´invio di una apposita e-mail al suo indirizzo di posta elettronica con la quale si chiede di confermare la propria identità cliccando su un apposito link”. Ma non finisce qui.
Un altro problema di sicurezza sembrerebbe essere rappresentato dalla password richiesta agli utenti in fase di registrazione: secondo quanto indicato dal sito, questa dovrebbe contenere “almeno 8 caratteri, una lettera maiuscola, una minuscola, un numero e un carattere speciale”, ma il sito non sembrerebbe essere in grado di riconoscere i caratteri speciali. Questo significa che chiunque può iscriversi utilizzando una password composta anche solo da maiuscole, minuscole e numeri, purché sia di 8 caratteri. Noi abbiamo provato la password WiredIta25, e il sito non ci ha restituito alcun errore, come potete vedere qui sotto.
Leggi tutto su www.wired.it
di Chiara Crescenzi www.wired.it 2025-01-14 09:36:00 ,
