È stata rilevata una vulnerabilità critica in un software VPN che consente l'accesso remoto senza necessità di password. Il difetto espone dati personali e lavorativi di milioni di utenti, ma l'azienda coinvolta non è stata nominata per proteggere i suoi investitori. La notizia, che già circola nei forum di sicurezza, arriva in ritardo: il buco è attivo da mesi.
Il codice open source senza audit, il terreno di coltura perfetto 🔓
La backdoor trovata risiede nell'implementazione di un protocollo di autenticazione. Il produttore era a conoscenza del difetto da mesi, ma si è rifiutato di pagare un bug bounty, lasciando la patch in un limbo. Molte aziende utilizzano versioni gratuite o open source senza audit di sicurezza, confidando che il software funzioni come uno scudo magico. La realtà è che questi servizi spesso privilegiano il costo rispetto all'integrità del codice, e il risultato è questo: una falla che permette a qualsiasi attaccante di saltare il login.
Il panico digitale: Netflix non si guarda da soli, si guarda senza password altrui 📺
La maggior parte degli utenti VPN non cerca sicurezza, ma aggirare i blocchi geografici per guardare serie TV. E mentre ci si strappa le vesti per questa vulnerabilità, è bene ricordare che il vero business di molte VPN gratuite è vendere il tuo traffico di navigazione. Un attaccante non ha bisogno di sfruttare questa falla: può acquistare direttamente i tuoi registri di navigazione dal fornitore che già li raccoglie. La sicurezza su Internet è un miraggio, e notizie come questa servono solo a farti comprare una VPN più costosa.