Bug sito Agenzia delle Entrate (Entratel/Fisconline). Account a rischio?

Da quasi un anno, per accedere al sito dell’Agenzia delle Entrate (Entratel/Fisconline) sono necessari tre codici per l’autenticazione: uno username, una password e un pin personale, tutto ciò per garantire la massima sicurezza nella gestione dei propri dati. Eppure c’è un bug che consentiva fino ad oggi (02/02/2017) di fare a meno del Pin ed autenticarsi al sito solamente con le prime due variabili, creando un pericolo di sicurezza per gli utenti.

Come funziona(va)

Accedendo dal sito internet e inserendo i dati di autenticazione nel form specifico, il browser comunica i dati al sito dell’Agenzia delle Entrate usando il metodo POST, i dati sono inviati in maniera nascosta all’utente tra i dati della sessione HTTP. E’ però possibile passare i dati anche con il metodo GET ovvero inserendoli direttamente nella stringa presente nella barra degli indirizzi usando un’apposita sintassi.

Collegandosi al sito web e inserendo solo due valori:

Schermata di Accesso di Entratel / FIsconline

ottengo una schermata di errore:

Schermata di errore

ma passando i parametri direttamente nella barra degli indirizzi in questa forma “http://telematici.agenziaentrate.gov.it/Servizi/j_security_check?j_username=NOMEUTENTE&j_password=PASSWORD” :

Stringa Con Due Parametri

Stringa Con Due Parametri

riesco tranquillamente ad accedere al sito web, con buona pace della sicurezza dei nostri dati:

Bug Accesso al sito

Bug Accesso al sito

 

Il bug dopo la mia segnalazione fatta oggi,02/02/17, non è più presente (avrei gradito almeno un grazie dall’ufficio Servizi Telematici, ma forse arriverà domani…  in effetti oggi, 03/02/17, è arrivata una email di ringraziamento per la segnalazione)