Tecnocasa copre una falla

Dopo la segnalazione di PI la pagina che faceva accedere alla Intranet è stata chiusa. Si temeva la possibilità di un defacement ai danni dell'azienda

Roma - Poter accedere al sistema di gestione dei contenuti di un portale è da lungo tempo uno degli obiettivi di molti smanettamenti di lamer, cracker e defacer di siti commerciali. Ed è quanto si è temuto potesse accadere con il portale di Tecnocasa.it.

L'allarme lo aveva lanciato a PI l'ormai celebre bug hunter Gabriele Zanoni, studente del Politecnico di Milano, che aveva giocato con le URL del portale della celebre catena dei servizi immobiliari.

In questo modo era stato possibile identificare una pagina dalla quale, effettuato un login, si poteva accedere al sistema di pubblicazione dei contenuti del sito in modalità "edit". La password di accesso era di facile reperimento in quanto uguale ai codici delle diverse agenzie listate dal portale: inserendo quel codice in luogo della password era dunque possibile accedere all'edit delle pagine dedicate delle specifiche agenzie.
PI ha naturalmente contattato subito Tecnocasa per segnalare la cosa che, in un tempo record di poche ore, è stata sistemata. In una lettera pervenuta in redazione, l'azienda ha spiegato che "un nostro collaboratore per errore ha inserito la pagina segnalata (destinata ad uso interno e quindi presente solo nella intranet aziendale) nell'applicazione internet aperta al pubblico".
TAG: italia
25 Commenti alla Notizia Tecnocasa copre una falla
Ordina
  • Quante volte anche in azienda si parte con un livello di sicurezza elevato, password lunghe, cambiate dopo un mese ecc...
    Poi per poter produrre velocemente, perche' alcuni utenti non riusciranno mai a ricordare la nuova password da loro scelta per piu' di 5 secondi (e sono pure laureati), si abbassa i livello di sicurezza a password = id utente. In lacrime
    non+autenticato
  • La loro interfaccia web ha sempre fatto acqua da tutte le parti, non ci vuole certo una scienza per scoprirlo.
    Anni fa era possibile buttare giu' il server web perche' una service pack non venne applicata. Il servizio ftp, con accesso anonimo, consentiva di scorrazzare per alcune directories e di scaricare i files contenenti le richieste degli affiliati, etc.
    E' un lungo elenco. Non mi stupisce che uno studente, semplicemente giocando con un url sia arrivato a tanto.
    State attenti prima di fornire i vostri dati personali alle aziende...
    non+autenticato
  • di Milano, come andiamo con gli esami ????
    Pensa a laurearti in fretta, il pezzo di carta serve di piu' ........
    non+autenticato

  • - Scritto da: Anonimo
    > di Milano, come andiamo con gli esami ????
    > Pensa a laurearti in fretta, il pezzo di
    > carta serve di piu' ........

    Ti sbagli caro.
    C'è un'inversione di tendenza su questo.
    Le aziende si sono rese conto che spesso la carta rimane solo carta e cercano persone diplomate che abbiano esperienza e conoscano bene le problematica.
    Così le pagano leggermente di meno e sono operative da subito e con buoni risultati.

    Questo non significa che tutti i laureati sono deficienti ma spesso, come gia detto, la carte rimane carte e uno dorme sugli allori perchè crede di aver finito...il meglio arriva dopoSorride

    P.s. Mai sentita la frase "Mi dispiace ma lei è TROPPO QUALIFICATO" ?A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    >
    > C'è un'inversione di tendenza su
    > questo.

    Per la verità la tendenza non si è mai "invertita", è sempre stato così. Anzi, a maggior ragione quando studiare era DAVVERO una strada in salita, non come oggi che fanno sparire le dimostrazioni dai corsi di Analisi e Fisica e la laurea è diventata un'appendice "obbligatoria" e "per tutti" del diploma...

    Quando studiavo ingegneria elettronica, negli anni '80, la bacheca era strapiena di annunci di aziende che cercavano SOLO studenti del secondo e terzo anno per assunzione immediata. Chi c'è stato lo sa benissimo. Bastava aver fatto i propedeutici, infatti la stragrande maggioranza delle figure aziendali IT inserite all'epoca non hanno terminato gli studi (e questi mi vengono a blaterare di albi e ordini... MAH). Molti miei colleghi si sono poi laureati per sfizio a 35-40 anni in facoltà meno farraginose (Scienze Matematiche e SdI/Informatica), mangiandosi in un boccone le matricole odierne con la laurea a distanza del Nettuno o quelle nuove del PoliMi.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > di Milano, come andiamo con gli esami
    > ????
    > > Pensa a laurearti in fretta, il pezzo di
    > > carta serve di piu' ........
    >
    > Ti sbagli caro.
    > C'è un'inversione di tendenza su
    > questo.
    > Le aziende si sono rese conto che spesso la
    > carta rimane solo carta e cercano persone
    > diplomate che abbiano esperienza e conoscano
    > bene le problematica.
    > Così le pagano leggermente di meno e
    > sono operative da subito e con buoni
    > risultati.
    >
    > Questo non significa che tutti i laureati
    > sono deficienti ma spesso, come gia detto,
    > la carte rimane carte e uno dorme sugli
    > allori perchè crede di aver
    > finito...il meglio arriva dopoSorride
    >
    > P.s. Mai sentita la frase "Mi dispiace ma
    > lei è TROPPO QUALIFICATO" ?A bocca aperta

    E' vero, è proprio così in questo momento, girano pochissimi soldi, e piuttosto che andare in giro nudi si va in giro con le toppe, o addirittura coi buchi.
    Però sono fiducioso che prima o poi cambierà, deve per forza girare la congiuntura, sempre che non si finisca tutti a gambe all'aria prima... e in quel caso, altro che diplomati, starà bene solo chi ha l'orticello abusivo in adiacenze-tangenziale, coltivato ad ortaggi... con le rape non ci fai girare Siebel ma, alla sera, una bella zuppetta te la fai! =)

    Cxar
    non+autenticato
  • il pezzo di carta è una mentalità tutta italiota ed è una delle principali rovine di sto' paese
    non+autenticato
  • Io credo che sia passibile di denuncia
    i pentest se non chiesti sono illegali.
    non+autenticato
  • ha permesso di (s)coprire un bug, secondo me andrebbe pagato, altro che denuncia
    non+autenticato

  • - Scritto da: Anonimo
    > ha permesso di (s)coprire un bug, secondo me
    > andrebbe pagato, altro che denuncia

    be comunque siamo in italia e questo genere di test
    sono pericolosi.
    metti caso che a tecnocasa gli rodeva il culo e lo denunciava....
    poi vabbe è ovvio che questo ragazzo è in gamba
    su questo non sindacalizzoSorride
    non+autenticato
  • Tecnocasa per denunciarlo avrebbe dovuto dimostrare (come?) che con il suo operato lo studente aveva creato danni oppure era entrato in possesso di dati personali (privacy).
    non+autenticato
  • No, tecnocasa doveva solo dimostrare di essere stata attaccata. E' lo studente a dover dimostrare la buona fede.
    Se con un sasso ti sfacio la vetrina del negozio sono passibile di denuncia. Se poi l'ho sfaciata perche era rimasta chiusa dentro una vecchietta l'onere della prova è a mio carico....
    non+autenticato

  • - Scritto da: Anonimo
    > No, tecnocasa doveva solo dimostrare di
    > essere stata attaccata. E' lo studente a
    > dover dimostrare la buona fede.
    > Se con un sasso ti sfacio la vetrina del
    > negozio sono passibile di denuncia. Se poi
    > l'ho sfaciata perche era rimasta chiusa
    > dentro una vecchietta l'onere della prova
    > è a mio carico....

    Piu' che altro se non c'e' una protezione e chiunque puo' entrare c'e' davvero poco da denunciare
    non+autenticato

  • > Piu' che altro se non c'e' una protezione e
    > chiunque puo' entrare c'e' davvero poco da
    > denunciare

    C'è una certa differenza anche legale tra l'attraversare una porta aperta ed andarsene in giro con 300 chiavi diverse in tasca provando quale apre quella portaA bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > Piu' che altro se non c'e' una
    > protezione e
    > > chiunque puo' entrare c'e' davvero poco
    > da
    > > denunciare
    >
    > C'è una certa differenza anche legale
    > tra l'attraversare una porta aperta ed
    > andarsene in giro con 300 chiavi diverse in
    > tasca provando quale apre quella portaA bocca aperta
    sono d'accordo...se non viene richiesto un betatest l'atto è illegale anche in buona fede.
    Che poi un'azienda decidere di non denunciare (è tutto tracciato quindi si risale!) perchè l'utente è chiaramente in buona fede questo è un altro discorso.
    E comunque mettersi a provare delle password in base al nome di qualcuno non è proprio corretto.

    Comunque devo dire che sono molto pochi gli utenti che, navigando, segnalano un bug.

    (A volte anche in buona fede si rischia di rovinare dati sensibili o eventuali analisi-statistiche per cui il discorso non è tanto semplice)
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > > Piu' che altro se non c'e' una protezione e
    > > > chiunque puo' entrare c'e' davvero poco da
    > > > denunciare
    > >
    > > C'è una certa differenza anche legale
    > > tra l'attraversare una porta aperta ed
    > > andarsene in giro con 300 chiavi diverse in
    > > tasca provando quale apre quella porta
    >A bocca aperta
    > sono d'accordo...se non viene richiesto un
    > betatest l'atto è illegale anche in
    > buona fede.
    > Che poi un'azienda decidere di non
    > denunciare (è tutto tracciato quindi
    > si risale!)

    Bè, FORSE anche l'azienda è denunciabile perchè non ha preso le giuste precauzioni per tutelare dati sensibili, quindi non so se le conviene, meglio far buon viso a cattiva sorte!

    Saluti...
    ................Enrico Fan Linux
    non+autenticato
  • Secondo me doveva avvisare Tecnocasa prima di PI...
    Forse non ho capito bene ma da quanto leggo Tecnocasa è stata avvisata da PI.

    Ciao
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > >
    > > > > Piu' che altro se non c'e'
    > una protezione e
    > > > > chiunque puo' entrare c'e'
    > davvero poco da
    > > > > denunciare
    > > >
    > > > C'è una certa differenza
    > anche legale
    > > > tra l'attraversare una porta
    > aperta ed
    > > > andarsene in giro con 300 chiavi
    > diverse in
    > > > tasca provando quale apre quella
    > porta
    > >A bocca aperta
    > > sono d'accordo...se non viene richiesto
    > un
    > > betatest l'atto è illegale anche
    > in
    > > buona fede.
    > > Che poi un'azienda decidere di non
    > > denunciare (è tutto tracciato
    > quindi
    > > si risale!)
    >
    > Bè, FORSE anche l'azienda è
    > denunciabile perchè non ha preso le
    > giuste precauzioni per tutelare dati
    > sensibili, quindi non so se le conviene,
    > meglio far buon viso a cattiva sorte!
    >
    > Saluti...
    > ................Enrico Fan Linux

    Guarda che ti sbagli di grosso.
    Il tizio in questione si è messo a provare svariate password.
    Se un mio utente ha la password uguale al login non è un mio sistema buggato ma l'utente deficiente e tu cracker non hai nessun diritto ne dovere a dover provare le password per loggarti a nome di un altro.
    L'azienda paga nel caso, ad esempio, di pubblicazione di dati sensibili tramite newsletter oppure nel caso in cui metta in aree pubbliche informazioni riservate.
    E ti assicuro che paga...ohhh se paga...

    saluti (wuftp2.6.0...poof --> root)
    non+autenticato