Una vulnerabilità sul sito delle Poste

Un bug hunter italiano ha individuato una debolezza nel sistema di logging ai siti delle Poste Italiane che avrebbe potuto dar vita a fenomeni di phishing. Poste ha già risolto

Roma - C'è una problematica di sicurezza che riguarda il sito di Poste.it e i domini correlati, come bancopostaonline.poste.it, una vulnerabilità che potrebbe consentire un attacco di XSS (Cross Site Scripting) pensato per dirottare gli utenti verso domini di terze parti, con tutti i rischi del caso.

A scoprire la debolezza è stato l'hacker italiano Matteo G.P. Flora, già direttore IT di ALVillage srl, titolare di LKProject e responsabile della Provincia di Milano di AIP (Associazione Informatici Professionisti) nonché da tempo consulente della Procura della Repubblica e della Guardia di Finanza di Milano, oltre che di prestigiose aziende italiane. Alcune informazioni nell'advisory sono per ora riservate in accordo con Poste Italiane, sebbene già in queste ore, come hanno spiegato a Punto Informatico i tecnici di Poste, l'installazione di una apposita fix risolverà interamente la questione.

Secondo l'advisory rilasciato da Flora "la procedura unificata di accesso che gestisce in modo unificato l'intero palco servizi Web di Poste Italiane (Bancopostaonline.poste.it, www.poste.it, registrazioneimprese.poste.it, registrazione-pa.poste.it) è stata scoperta positiva alla rilevazione di una problematica di sicurezza che consente ad un utente malintenzionato di dirottare l'utente del servizio in modo arbitrario, sottraendolo al controllo del sito web certificante la navigazione e trasportandolo ad un sito arbitrario".
Va detto che si tratta di una questione che non determina in alcun modo l'esposizione diretta di informazioni dei fruitori dei servizi di Poste Italiane, sebbene possa consentire, o forse sarebbe meglio dire avrebbe potuto consentire, di portare attacchi di phishing. "Il reindirizzamento, effettuate le procedure di autentificazione, - si legge nell'advisory - potrebbe ad esempio trasferire l'ignaro utente che riceve una mail contraffatta ad un sito web creato per sottrarre informazioni relative a codici di accesso, password e/o informazioni riservate".

Come detto, comunque, già in queste ore il problema è in via di risoluzione e nel corso della mattinata dovrebbe essere definitivamente risolto.
TAG: italia
21 Commenti alla Notizia Una vulnerabilità sul sito delle Poste
Ordina
  • ... si, ora forse sarà un po' più sicuro.
    Fossi in te però mi preoccuperei di realizzare dei siti sicuri. Non dovrebbe essere difficile per coloro che si auto-definiscono i "guru del web".
    Stanare i bachi altrui è una cosa che può affascinare chi non sa cosa voglia dire hacking o cracking, che non sempre richiede una laurea per essere svolta!
    non+autenticato
  • - Scritto da: Anonimo
    > ... si, ora forse sarà un po' più sicuro.
    > Fossi in te però mi preoccuperei di realizzare
    > dei siti sicuri. Non dovrebbe essere difficile
    > per coloro che si auto-definiscono i "guru del
    > web".

    I miei clienti e quelli della mia società dicono la stessa cosa: "Grazie".
    Non capisco questo accanimento contro il bug-hunting: non ho fatto io il sito delle Poste. Altrimenti questo errore non l'avrebbe rilevato nessuno.
    Ne avrebbero, però, rilevati molti altri, forseOcchiolino

    M.
    non+autenticato
  • perchè punto informatico a volte ha questi deliri di pubblicità gratuita?
    Io qualche settimana fa segnalai un baco di sicurezza sul sito del 187 (www.i87.it) ed è ancora aperto.
    Hanno fatto qualcosina ma ancora poco....
    provate:
    login: marcotp
    password: .marcotp

    ciao!
    non+autenticato
  • - Scritto da: Anonimo
    > perchè punto informatico a volte ha questi deliri
    > di pubblicità gratuita?
    > Io qualche settimana fa segnalai un baco di
    > sicurezza sul sito del 187 (www.i87.it) ed è
    > ancora aperto.

    Non lo so. Io ho semplicemente scritto l'advisory, comunicato alle Poste Italiane, pubblicato su Sito e notificato al Punto Informatico.... Credo che le Poste facciano notizia principalmente a causa della notorietà dello scorso attacco di Phishing avvenuto ad inizio mese e a cui PI aveva dato molto risalto...

    > login: marcotp
    > password: .marcotp

    L'unico suggeriemnto che posso darti è: sii formale! Geeks&CO come noi adorano l'INFORMALITA', le aziende soprattuto se grosse adorano la carta e le perifrasiSorride

    Advisory secondo i modelli standard, comunica ufficiale a CD e reparto tecnico della Società oggetto, Full disclosure agli interessati compresa una proof of concept e la possibile soluzione, attesa di qualche giorno (anche 1 solo) e pubblicazione...

    Il tutto in mail, via FAX al numero centrale ed alla sede Legale alla ca dell'Amministratore delegato e (se presente) all'Ufficio relazione Pubbliche o l'Ufficio Stampa. In genere tutte queste informazioni si recuperano dal sito web della società.

    Per il resto non soSorride

    > ciao!

    Ciao anche a te.

    Matteo.
    non+autenticato
  • matteo,
    sui "nostri" siti istituzionali ci trovo tante e tante di quelle porcherie che a volte mi stufo pure di cercarle.
    lo faccio per semplice passione e divertimento, ma se ci si può guadagnare sopra .... mi trovi al fatun6969@yahoo.de
    ciao!
    non+autenticato
  • "A scoprire la debolezza è stato l'hacker italiano Matteo G.P. Flora... "

    Non so voi ma appena ho letto sta cosa mi è subito venuto in mente:
    "beh, a questo punto ci stava bene anche un bel dott. hack. Matteo G. P. Flora"...

    NO??

    facciamo un bel corso di laurea, nuove figure professionali, dopo il triennio buttiamo fuori gli HACKER JUNIOR...hanno accesso solo ai database pubblici.
    I dott. hack. specializzati invece potranno accedere ai server delle grandi compagnie e scaricare dati anche abusivamente e molto altro ancora!!!!

    Già mi immagino le aule informatiche...tutti a smanettare magari con le bandane!

    Alchè, appena comciano ad insegnarti Linux, tutti si stancano e mandano a quel paese i prof perchè non diventa più "un fare trasgressivo".

    Ecco risolto il problema dei pericolosi criminali informatici!!
    Geek


    ciao ciao!!

    non+autenticato

  • - Scritto da: Anonimo
    > "A scoprire la debolezza è stato l'hacker
    > italiano Matteo G.P. Flora... "
    >
    > Non so voi ma appena ho letto sta cosa mi è
    > subito venuto in mente:
    > "beh, a questo punto ci stava bene anche un bel
    > dott. hack. Matteo G. P. Flora"...
    >
    > NO??

    Magari! Sempre stato un sogno riuscire a prenderla questa benedetta laurea...
    Invece ho iniziato a lavorre dopo 2 anni in cui la seguivo per necessità prettamente economiche e mi sono ritrovato poi "troppo immerso nel lavoro" per continuare. Che con il senno di poi è stata una emerita cretinata.

    Comunque guarda che già ci pensano... I Master di Sicurezza Informatica in tutta italia, insieme a quelli per Computer Forensic, spuntano come funghi in tutta italia da dopo il 9/11, quando "sicurezza" è diventata una parola "trendy".

    Per quanto mi riguarda non certo Hacker, piuttosto programmatore da qualche tempo ed esperto di sicurezza non perchè insignito ed unto dal Signore, ma per una marea di problemi riscontrati (a volte anche correttiOcchiolino) avendo avuto la fortuna di lavorare a grandi progetti.

    La Laurea, però, ti confesso mi sta ancora "qui".
    Se quancuno mi propone per una "adhonorem"... magari pagando... Ah, è vero, dimenticavo i diplomi americani in vendita... scusate, torno subito!Occhiolino

    Matteo.
    non+autenticato
  • sara' anche un ottimo informatico, ma almeno si controlli per bene i testi del sito, visto che e' pieno di errori di battituraA bocca aperta
    ah, se legge questo forum: ti e' andata male che "ilVillage" lo avevamo gia' inventato noi nel 2001A bocca aperta:D:D
    ciao, buon lavoro
    non+autenticato
  • - Scritto da: Anonimo
    > sara' anche un ottimo informatico, ma almeno si
    > controlli per bene i testi del sito, visto che e'
    > pieno di errori di battituraA bocca aperta

    E hai perfettamente ragione... Già il mio inglese non è un gran che, giànon guardo la tastiera e non sono capace...
    Prossima aggiunta al CMS un correttore ortograficoOcchiolino

    > ah, se legge questo forum: ti e' andata male che
    > "ilVillage" lo avevamo gia' inventato noi nel
    > 2001A bocca aperta:D:D

    Non è mio, ci lavoro solamenteA bocca aperta
    E comunque noi siamo più belli... ghghghg BRAVI non lo so, quindi punto su altro.... E se voi siete più belli NOI più simpatici...

    > ciao, buon lavoro

    Altrettanto e grazie dei commentiSorride

    Matteo.
    non+autenticato
  • Occhio anche alle date!

    L'anno è il 2004!

    Salutoz!

    Lo Zio
    non+autenticato
  • Quanto odio questi tizi che se la tirano tanto per il lavoro che fanno.. hacker, web agency, bla bla bla.. la realtà più creativa, bla bla bla.. new economy, bla bla bla..
    non+autenticato

  • - Scritto da: Anonimo
    > Quanto odio questi tizi che se la tirano tanto
    > per il lavoro che fanno.. hacker, web agency, bla
    > bla bla.. la realtà più creativa, bla bla bla..
    > new economy, bla bla bla..

    è stato alien
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Quanto odio questi tizi che se la tirano tanto
    > > per il lavoro che fanno.. hacker, web agency,
    > bla
    > > bla bla.. la realtà più creativa, bla bla bla..
    > > new economy, bla bla bla..
    >
    > è stato alien
    ahooo!!! Nun me rompe li cojoni. Nun c' entro nà mazza con sta ggente!!
    non+autenticato

  • - Scritto da: Anonimo
    > Quanto odio questi tizi che se la tirano tanto
    > per il lavoro che fanno.. hacker, web agency, bla
    > bla bla.. la realtà più creativa, bla bla bla..
    > new economy, bla bla bla..

    come diceva la mamma di Pozzetto in ragazzo di campagna:
    "l'invidia l'e' una brutta bestia"
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)