Per Intesa San Paolo continua questo periodo nero. L’app della banca non risulta proprio un capolavoro di programmazione secondo l’analisi di Emerge Tools, soprattutto a livello di ottimizzazione. E negli ultimi giorni sono stati trovati all’interno di un file del codice (payload) il file audio mp3 di un rutto e un file di testo che si è rivelato essere l’immagine di una modella vestita in formato Base64.
L’app di Intesa San Paolo conteneva un file sensibile che nessuno aveva ancora notato
Con un aggiornamento rilasciato ieri, Intesa San Paolo ha rimosso sia l’audio del rutto che l’immagine della modella, risolvendo apparentemente tutti i suoi problemi… Ma c’è un però: con questa mossa ha rivelato anche l’esistenza di un terzo file che finora non era stato scoperto da nessuno. Questi, a differenza dei due predecessori, ha un contenuto di una gravità molto più seria: il bollettino MAV di un cliente su cui sono scritti tutti i suoi dati personali.
Praticamente la banca ha esposto pubblicamente i dati di una persona che si è affidata a lei, anche se va specificato che il bollettino risale al 2016, e che in questi otto anni il cliente potrebbe aver cambiato alcune cose. Al momento non è chiaro quale sia il motivo per cui l’immagine del bollettino sia finita nel codice (payload) dell’app. A differenza degli altri due – che potrebbero essere entrambi stati inseriti come un semplice scherzo dei programmatori – l’immagine del bollettino potrebbe esser stata dimenticata lì per errore
L’app permette agli utenti di pagare i MAV facendo una semplice foto ai bollettini, quindi è possibile che gli sviluppatori si siano semplicemente dimenticati nel codice la foto usata per uno dei test dedicati a questa funzione, anche se forse avrebbero dovuto usare dati falsi e non quelli di un cliente. Un altro fatto ancora poco chiaro è da quanto tempo la foto si trovi effettivamente dentro l’app, considerato che è un documento di otto anni fa.
Il bollettino ora è visibile soltanto a coloro che ancora non hanno eseguito l’aggiornamento dell’app, e speriamo che queste persone non riescano a trovarlo.
