IL MAGAZINE DEDICATO ALLE
INVESTIGAZIONI & SCIENZE FORENSI

di:  

Microsoft: accesso a dati sensibili all’insaputa dell’utente

Falla nei servizi online di Microsoft, arriva da Trento la scoperta che premia il ricercatore di FBK

E’ di nazionalità indiana Avinash Sudhodanan il ricercatore di ventisei anni che da tre anni sta lavorando al suo dottorando presso FBK, Fondazione Bruno Kessler di Trento, nel gruppo Security and Trust che è balzato agli onori della cronaca per essere stato premiato da Microsoft per il suo contributo alla sicurezza dei servizi online.

Il ricercatore infatti, assieme allo stagista Nicolas Dolgin di SAP Francia, ha scoperto quella che risulta una seria vulnerabilità nei servizi on line di Microsoft. Una falla attraverso la quale terzi possono accedere a dati sensibili all’insaputa dell’utente vittima.

Si tratta di una falla attraverso la quale si possono monitorare attività e pagine visitate dalla vittima, acquisendo in tal modo dati sensibili. Una violazione della privacy e la possibilità dell’utilizzo per scopi fraudolenti delle informazioni raccolte come il furto di identità, la perdita di coordinate bancarie o informazioni riservate, o attraverso l’utilizzo della carta di credito della vittima nel ricaricare servizi non attivi ma del truffatore.

La scoperta rientra nei criteri per il programma “Online Services Bounty” di Microsoft grazie a cui Avinash e Nicolas riceveranno un premio di 1.500 dollari. ​Il “Microsoft Security Response Center” fornisce infatti un riconoscimento ​in denaro e una menzione sul loro sito web ​ai ricercatori che contribuiscono a rendere più sicuri i servizi online.

Lo studio è stato condotto nell’ambito del progetto europeo “Security and Trust of Next Generation Enterprise Information Systems” (SECENTIS), a cui partecipano la Fondazione Bruno Kessler e SAP Labs in Francia. Si tratta di un dottorato industriale europeo, totalmente finanziato dalla comunità europea, che ha lo scopo di formare una nuova generazione di esperti di sicurezza, capaci di affrontare le sfide sia scientifiche che tecniche poste dalle tecnologie emergenti ed il loro conseguente impatto nelle aziende.

Avinash, insieme ad altri quattro studenti di dottorato, è stato selezionato nel 2013 nell’ambito del progetto SECENTIS. Il loro compito è di sviluppare tecniche di analisi di sicurezza e testing di protocolli browser-based che possano supportare gli sviluppatori, contribuendo ad individuare vulnerabilità nei sistemi.

Supervisionano il lavoro di Avinash i ricercatori Roberto Carbone, Luca Compagna, del SAP Labs Francia e il coordinatore del progetto SECENTIS, Alessandro Armando (responsabile in Fondazione Bruno Kessler dell’unità “Security and Trust”).

Il filone di ricerca sviluppato da Avinash nell’ambito del progetto SECENTIS sta contribuendo a migliorare la sicurezza delle applicazioni web di grande popolarità. Durante la sua attività, Avinash ha scoperto serie vulnerabilità, simili a quella scoperta in Microsoft, in servizi forniti da Google, eBay e SAP. Avinash ha inoltre condotto una analisi della sicurezza di siti web che usano soluzioni di single sign-on (SSO) forniti da importanti aziende quali PayPal, LinkedIn, Facebook e Instagram e reso evidenti dei “bachi” nell’accesso SSO di PayPal e nei siti web più popolari (quali LinkedIn, Pinterest).

Il contributo di Avinash è stato pubblicamente riconosciuto da Yahoo (nella propria Security Wall of Fame), oltre che da Pinterest e SAP .

Avinash terminerà il suo PHD il prossimo anno e, grazie alle ricerche sviluppate in FBK, sta attualmente collaborando con il Cyber Security Innovation Lab (Poste italiane) in FBK e applicando per posizioni all’estero.

CONDIVI QUESTO ARTICOLO!

Iscriviti alla newsletter

    La tua email *

    Numero di cellulare

    Nome *

    Cognome *

    *

    *

    Inserisci sotto il seguente codice: captcha