CEPU in imbarazzo per un buco web

L'azienda tappa la falla che ha messo a rischio i dati contenuti in alcuni curricula. Quasi 200 i file nel folder fallato. A Punto Informatico CEPU ammette l'errore e spiega: quei file avrebbero dovuto essere cancellati

CEPU in imbarazzo per un buco webRoma - Dati personali di aspiranti "tutor", completi con numeri di telefono, email, residenza e corredati di tutti i dettagli delle attività professionali: questo è quanto il sito del CEPU, celebre istituto di formazione privato, ha inavvertitamente divulgato online nei giorni scorsi.

Su uno dei siti del network di CEPU, cepuonline.it, l'azienda aveva lasciato alcuni curricula inviati da coloro che intendono tentare di essere selezionati per l'attività di Tutor online di CEPU, presso questo indirizzo:
http://www.cepuonline.it/tutor/tutor.htm

Fino a poche ore fa, era sufficiente accedere alla directory principale di questa porzione del sito, www.cepuonline.it/tutor/, per arrivare a dei folder che avrebbero dovuto rimanere privati. Uno di questi folder, www.cepuonline.it/tutor/curriculi/, contiene circa 200 curricula, alcuni dei quali sono completi e dunque contengono informazioni che avrebbero dovuto essere gestite con la riservatezza di cui alla legge sulla privacy.
Ora il buco è stato chiuso dal CEPU che, interpellato da Punto Informatico sull'accaduto, ha ammesso: "dire che abbiamo fatto una figuraccia è il minimo, e vi ringraziamo per averci segnalato il buco che è stato chiuso. Da un primo controllo sembra che una buona parte dei curricula incriminati siano falsi e inseriti dagli utenti dei NewsGroup dove sono circolate le URL galeotte, altri sono di prova e qualcuno vero. A tutte quelle persone che ci hanno seriamente inviato il loro curriculum e che, loro malgrado, questo è stato visibile, noi dobbiamo le nostre più umili scuse".

CEPU ha tenuto a sottolineare che al momento il sito fallato, cepuonline.it, è per il momento un sito "non pienamente operativo verso gli utenti" e viene sostanzialmente utilizzato come strumento di comunicazione principalmente interni, per prove e test. "E' praticamente un cantiere - hanno spiegato i webmaster CEPU - affollato da più operatori e questo crea problemi di controllo. Abbiamo organizzato alcuni servizi di amministrazione: questi ultimi, nonostante più di un tentativo di attacco registrato, non sono mai stati scalfiti. Per cui da mesi gli accessi sono, quasi esclusivamente i nostri".

La directory contenente i file esposti viene dunque descritta come una directory sulla quale da tempo non si lavorava e che non avrebbe dovuto contenere alcunché. "Il guaio - ha spiegato il CEPU - è stato che la prevista cancellazione del contenuto della directory dei curriculum non è avvenuta nei tempi dovuti e ciò ha reso vulnerabili questi file".

Non è chiaro per quanto tempo sia stato possibile accedere a quei dati. Quel che è certo è che si parlava della cosa da almeno un paio di giorni sui newsgroup, in particolare it.lavoro.informatica, e che da mercoledì sono iniziate ad arrivare le prime segnalazioni a Punto Informatico.
TAG: italia
31 Commenti alla Notizia CEPU in imbarazzo per un buco web
Ordina
  • provate (utenti linux) ad effettuare query del tipo:

    %dig @ns.nokia.com axfr nokia.com
    %dig @dns.regione.toscana.it axfr regione.toscana.it
    %dig @dns.usl12.toscana.it axfr usl12.toscana.it
    %dig @nameserver.insoftware.it axfr insoftware.it
    %dig @ulysses.ulysses.it axfr be3a.com

    sono solo pochi esempi... ma vi fanno capire quanto la sicurezza informatica non sia neanche tenuta in considerazione (perfino da amministratori dei DNS , cuore di internet)...

    meditate ...
    non+autenticato
  • Scusate l'ignoranza, ma cosa c'entra la cazzata di mettere i curricula in una sottocartella non protetta con quella dei server di cepu?
    Premesso che chissenefrega di difendere Cepu, anzi!, ma mi sembrano due cose differenti. Secondo me la cazzata enorme è stata mettere curriculum su una cartella non protetta... ormai anche chi non è informatizzato come me può arrivarci!
    Andrea Giugliano
    non+autenticato
  • Che gli admin della dir non lavorano bene.
    Il problema è che tutto il server web è tuttora navigabile nelle sottocartelle.
    non+autenticato
  • test# host cepuonline.it
    cepuonline.it has address 194.243.165.175
    cepuonline.it mail is handled (pri=10) by mail.cepuonline.it
    test# host 194.243.165.175
    175.165.243.194.IN-ADDR.ARPA domain name pointer cepu.itb.it
    test# host -t ns cepu.itb.it
    test# host -t ns itb.it
    itb.it name server dns.interbusiness.it
    itb.it name server dns2.nic.it
    itb.it name server dns.itb.it
    test# dig @dns.itb.it itb.it axfr

    i risultati vedeteveli voi... 207 righe con i nomi di tutti gli host mi sembrano eccessive Occhiolino

    Povero Del Piero....
    non+autenticato
  • >
    > i risultati vedeteveli voi... 207 righe con
    > i nomi di tutti gli host mi sembrano
    > eccessive Occhiolino
    Scusami ma non capisco cosa c'entri...
    d'accordo che sono un po' ignorante in materia ma non ho capito csoa vuoi dire!
    Ciao
    Lucy
    non+autenticato
  • - Scritto da: Lucia
    > >
    > > i risultati vedeteveli voi... 207 righe
    > con
    > > i nomi di tutti gli host mi sembrano
    > > eccessive Occhiolino
    > Scusami ma non capisco cosa c'entri...
    > d'accordo che sono un po' ignorante in
    > materia ma non ho capito csoa vuoi dire!

    Il provider che probabilmente gli fa da hosting o housing e sicuramente da dns, ha il proprio dns che risponde alle richieste di cani e porci sul axfr, cioe' sul transfer.
    Questo vuol dire che basta chiederglielo e lui ti da tutti gli host del suo dominio.
    cio' non e' molto bello ne' tecnicamente corretto, pensa la mare di informazioni che hai su quel dominio, sulla rete ecc.
    Hai presente i pc con nome "Marco", utente "marco" e password "marco"?
    Magari non e' il caso ma sempre meglio tacere certe informazioni, no?

    non+autenticato
  • > ls -d cepuonline.it
    [cepuonline.it]
    $ORIGIN cepuonline.it.
    @                       1D IN SOA       dns root.dns (
                                            15             ; serial
                                            1D             ; refresh
                                            30M             ; retry
                                            8w4d            ; expiry
                                            1D )            ; minimum

                            1D IN NS        dns
                            1D IN NS        dns2.nic.it.
                            1D IN A         194.243.165.175
                            1D IN MX        10 mail
    report                 1D IN A         194.243.165.175
    www.report             1D IN A         194.243.165.175
    dns2                    1D IN A         194.243.165.5
    dns                     1D IN A         194.243.165.2
    ced                     1D IN A         194.243.165.175
    coordinatore            1D IN A         194.243.165.175
    mail                    1D IN A         194.243.165.175
    tutor                   1D IN A         194.243.165.175
    www                     1D IN A         194.243.165.175
    www2                    1D IN A         194.243.165.175
    ftp                     1D IN A         194.243.165.175

    21/tcp     open        ftp                    23/tcp     open        telnet                 25/tcp     open        smtp                   37/tcp     open        time                   53/tcp     open        domain                 80/tcp     open        http                   110/tcp    open        pop-3                 113/tcp    open        auth                   143/tcp    open        imap2                 5432/tcp   open        postgres               
    Remote operating system guess: Linux 2.1.19 - 2.2.17

    telnet... telnet????
    non+autenticato
  • Il sito web di cepu era stato già bucato (con tanto di nuova paginetta in home) qualche settimana fa...

    Non ci sono veramente parole
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)