Connect with us

Malta

App per universitari FreeHour: studenti arrestati dopo aver rivelato una falla del sistema

Published

1 anno ago

on

Quattro studenti di informatica sono indagati dalla polizia dopo aver trovato ed evidenziato una falla nel sistema nella più grande applicazione studentesca di Malta, FreeHour .

Giorgio Grigolo, Michael Debono, Luke Bjorn Scerri e Luke Collins stavano analizzando il software dell’applicazione quando hanno trovato un difetto che, secondo loro, potrebbe essere sfruttata da hacker malintenzionati .

Hanno inviato le loro scoperte via e-mail al proprietario di FreeHour e hanno chiesto una ricompensa – o “bug bounty ” – per aver individuato l’errore.

Ma, invece di una ricompensa, gli studenti dell’Università di Malta sono stati arrestati, perquisiti e il loro materiale informatico è stato sequestrato.

Tutto quello che volevamo era aiutare

ha dichiarato Grigolo a Times of Malta .

Gli studenti sostengono che il difetto da loro scoperta avrebbe potuto comportare la potenziale fuga di dati privati degli utenti dell’app, che consente agli studenti di condividere il proprio orario universitario con gli amici.

Advertisement

Gli indirizzi e-mail, i dati sulla posizione e il controllo dei calendari Google delle persone sono risultati potenzialmente vulnerabili.

Gli studenti di informatica sostengono che questo difetto dell’app ha permesso loro di richiedere qualsiasi tipo di informazione dai loro server e di apportare modifiche all’interfaccia dell’applicazione, cosa che, in un’occasione, hanno fatto per testare se ciò che vedevano funzionava davvero.

Normalmente, un server vede una richiesta di dati privati, controlla chi la richiede – in questo caso gli studenti – e nega l’accesso perché l’utente non ha l’autorizzazione necessaria.

Tuttavia, i ricercatori affermano che ogni dato richiesto è stato autorizzato dal server e fornito.

In parole povere, ogni utente è un amministratore senza saperlo

ha detto Collins.

Gli studenti hanno detto di essersi resi conto che i server di FreeHour utilizzano Parse , una struttura di backend per le applicazioni, e che era stata lasciata allo stato di default invece di modificare le impostazioni di sicurezza.

La guida all’uso di Parse avverte le applicazioni che il mancato adeguamento potrebbe renderle vulnerabili a “intrusioni di malintenzionati, fughe di dati e aumenti imprevisti dei costi”.

Advertisement

Facciamoglielo sapere

In seguito alla scoperta, il 18 ottobre scorso il gruppo ha deciso di inviare un’e-mail a FreeHour informandola della falla e invitandola a risolverla.

Hanno anche dato loro un termine di tre mesi per mettere in sicurezza la vulnerabilità prima di divulgarla al pubblico.

Nell’e-mail si accennava anche alla possibilità di richiedere un bug bounty per i loro sforzi.

I bug bounty sono premi che le aziende offrono quando le persone segnalano errori o bug nel loro software. Gli studenti non hanno dato un prezzo alla loro scoperta e non hanno chiesto denaro. Tuttavia, un mese dopo aver inviato l’e-mail a FreeHour, Scerri, Grigolo e Debono sono stati arrestati dalle loro case e portati in custodia dove sono stati spogliati e interrogati.

Quando la polizia è arrivata, aveva un mandato di arresto per sospetto accesso non autorizzato. Il mandato prevedeva anche una perquisizione da parte della polizia che ha portato alla confisca della maggior parte delle loro tecnologie e attrezzature.

Inizialmente, le autorità avevano detto loro che gli oggetti sarebbero stati restituiti entro alcune settimane, ma stanno ancora aspettando.

Al momento dell’arresto della sua coorte, a novembre, Collins si trovava in Inghilterra per studiare per il suo dottorato. È stato interrogato quando è tornato nel Paese per Natale.

Advertisement

Durante gli interrogatori, hanno raccontato che la polizia ha chiesto loro se il gruppo avesse ricevuto un permesso esplicito da FreeHour per testare i sistemi.

I due hanno sostenuto che, essendosi identificati con il server, che ha poi dato loro accesso a ciò che chiedevano, avevano quindi ricevuto l’autorizzazione.

Quattro anni di carcere

Gli studenti sono indagati ai sensi dell’articolo 337 del Codice penale, che rende illegale l’accesso a un’applicazione senza essere “debitamente autorizzati da una persona autorizzata”.

Il reato prevede una pena fino a quattro anni di carcere e una multa massima di 23.293 euro.

Il fondatore e amministratore delegato di FreeHour, Zach Ciappara , ha dichiarato di aver contattato l’ufficio del Commissario per la protezione delle informazioni e dei dati (IDPC) e l’unità per i crimini informatici dopo aver ricevuto l’e-mail dai quattro studenti in ottobre.

Siamo lieti di comunicare che nessun dato degli utenti è stato compromesso e che la vulnerabilità è stata risolta entro 24 ore. È importante notare che eravamo obbligati per legge a segnalare la potenziale violazione dei dati e lo abbiamo fatto entro i termini previsti dalla legge

E poi ha aggiunto:

Questa esperienza ci ricorda i rischi insiti nel settore in cui operiamo e la responsabilità che abbiamo. Esprimiamo la nostra gratitudine alle parti competenti e solidali che ci hanno aiutato ad affrontare la questione

La polizia ha rifiutato di rispondere a qualsiasi domanda, citando le indagini in corso.

Advertisement

Anche il Commissario per l’Informazione e la Protezione dei Dati Ian Deguara ha rifiutato di commentare a causa delle indagini in corso.

Related Topics:
Continue Reading