Gli sviluppatori del sito, mossi dalle miglio intenzioni di limitare il problema del phishing, avevano inserito un metodo per consentire agli utenti del sito la verifica della sua autenticità prima di inserire la password.
Fin qui tutto bene, il problema era però nella discutibile scelta dei dati utilizzati per l'autenticazione: infatti dopo l'inserimento di username e data di nascita dell'utente venivano mostrate le ultime transazioni effettuate dalla carta di credito.
Avete capito bene, informazioni sulle transazioni venivano mostrate senza la necessità della password.
Inutile dire che questo era un gravissimo problema legato alla privacy, infatti chiunque fosse a conoscenza dello username (Spesso una combinazione di nome e cognome, non impossibile da indovinare) e della data di nascita del cliente poteva accedere liberamente alle transazioni effettuate.
Ovviamente appena mi sono accorto della novità ho avvisato il servizio clienti con una e-mail, cui non ho avuto risposta ma che a quanto pare è stata tenuta in considerazione dal momento presenta la vecchia (Ma sicura) schermata di autenticazione. Avrei preferito avere una risposta personale, però già così non mi posso lamentare visto che il servizio è tornato sicuro.