Vodafone, le password del sito sono troppo facili da resettare

di Gio Tuzzi 1

Vodafone al centro di un nuovo caso, almeno per quanto concerne il sistema "recupera password" secondo le segnalazioni online di alcuni utenti

Sarà capitato a tutti di dimenticare la password di un sito internet e di avere la necessità di resettarla. Generalmente c’è una procedura direttamente accessibile dal sito in questione che permette di ricevere via mail o tramite SMS una richiesta di cambio password: semplice e lineare.

Qualora invece foste clienti Vodafone (190 online e mail @vodafone.it) e aveste lo stesso problema, il sito internet della multinazionale inglese procederebbe in modo differente. Provvederebbe preventivamente a cambiare la vostra password con una provvisoria, generalmente un segno zodiacale, una città italiana o il nome di un animale seguito da un numero, e ve la comunicherebbe tramite posta elettronica.

Avete già individuato il problema di questa procedura? Semplice: chiunque può accedere al sito di Vodafone e tentare di ripristinare la password di qualunque indirizzo e a questo punto il reale proprietario di quella casella di posta elettronica o di quelle credenziali del 190 online, si troverebbe la password cambiata.

“La mi password viene cambiata anche una decina di volte alla settimana, perché probabilmente c’è qualcuno che si chiama come me che tenta di appropriarsi della mail”, ci ha spiegato il lettore che ci ha segnalato questa anomalia. “Ho tentato di contattare il 190, ma è come scontrarsi con un muro di gomma, ti dicono che stanno normalizzando il tuo account, qualsiasi cosa significhi, ma dopo qualche ora siamo da capo”. E continua: “alle mie richieste dicono che passeranno la comunicazione al dipartimento competente, ma è evidente che in realtà nessuno fa niente, e la richiesta finisce nel nulla”.

Ma c’è di più. La procedura di ripristino della password di Vodafone non prevede neppure un captcha, ovvero di una verifica che la richiesta venga da un essere umano e non da un software automatizzato. Così un qualsiasi ragazzino con qualche conoscenza informatica e con la voglia di fare qualche scherzo burlone, potrebbe programmare uno script capace di mettere in crisi un gran numero di utenti.

Infatti non sembra esserci alcuna protezione se non il blocco totale dell’account del cliente dopo un certo numero di tentativi di recupero password, dopodiché per poterlo sbloccare è necessario ricevere un codice identificativo tramite SMS sulla SIM registrata al 190 online.

Come mai un gestore moderno come Vodafone si basa su una procedura così poco sicura per la gestione delle password dei clienti? A voi è mai capitato nulla di simile? Lasciate un commento qui sotto e condividete la vostra esperienza in merito.