Email.it corregge uno spiffero

Il noto portale italiano dell'e-mail ha comunicato a Punto Informatico di aver corretto uno spiffero che poteva renderlo vulnerabile ad attacchi di phishing. L'intero sito è ora sotto revisione da parte dello staff tecnico

Roma - Negli scorsi giorni è giunta in redazione la segnalazione di un problema di sicurezza nel sito Email.it, noto fornitore italiano di servizi di posta elettronica, che poteva andare a vantaggio degli esperti in truffe online e phishing. Ieri i gestori del sito hanno prontamente comunicato a Punto Informatico di aver risolto la vulnerabilità.

"La vulnerabilità consente attacchi di tipo phishing particolarmente ingannevoli", aveva scritto D.F. a PI, fornendo anche il link ad una pagina web in cui si descrive il problema nei dettagli e si fornisce una dimostrazione di phishing (che da ieri sera, dopo la correzione del problema, non funziona più).

"Email.it è risultato affetto da una vulnerabilità di tipo Cross Site Scripting (XSS) che consiste nella possibilità di inoculazione nella pagina web visualizzata nel browser di codice Javacript attraverso la tecnica dell'HTML Injection", si legge nell'advisory. "L'uso della tecnica di tipo Cross Site Scripting permette, grazie ad un URL creato ad arte, di portare a segno attacchi di tipo Phishing con alto livello di credibilità".
L'esempio di attacco riportato da D.F. mostrava come fosse possibile modificare l'home page di Email.it in modo da indurre l'utente ad inserire il proprio nome utente e la propria password in form estranei al noto sito italiano: un truffatore avrebbe potuto utilizzare la stessa tecnica per raccogliere dati di accesso o altre informazioni sensibili.

"Questa mattina abbiamo ricevuto dal Sig. D.F. la segnalazione inerente la vulnerabilità riscontrata nel nostro motore di ricerca. A seguito di tale segnalazione, il nostro staff tecnico si è immediatamente riunito e poche ora fa il bug è stato corretto", ha scritto ieri sera a PI Carmine Garone, chief security officer di Email.it. "Gestendo una comunità così vasta come quella di Email.it è, purtroppo, possibile che in fase di sviluppo vengano a mancare alcune nozioni di sicurezza. (...) Questa situazione dimostra ancora una volta come le aziende che forniscono servizi Internet per l'utenza debbano prestare la massima attenzione a quanto segnalato dagli utenti, che rappresentano una fonte inesauribile di conoscenza".

"Mentre le scrivo queste righe - ha poi continuato Garone - il nostro staff tecnico è impegnato in una completa revisione del nostro sito affinché si possa verificarne l'effettiva e totale solidità".
14 Commenti alla Notizia Email.it corregge uno spiffero
Ordina
  • io lo uso da qualche anno e devo dire cheil servizio è peggiorato clamorosamente.
    Adesso da qualche mese quando entro mi scrive il classico 'posta in arrivo (1)' in grassetto.
    Dopodichè comincio una disperata ricerca di questa fantomatica mail,inutile.
    Poi esco e rientro niente,nessuna posta in arrivo.Misteri del codice!
    E questo tutti i giorni!
    Dico va bene un baco ma per una webmail mi pare un pochino grave...
    Oddio tiscali col suo free-spam (giusto per cercare di venderti il loro filtro del menga) è quasi peggio.
    Con yahoo mi trovo benissimo invece,veloce,comodo e anche bello...
    non+autenticato
  • > Adesso da qualche mese quando entro mi scrive il
    > classico 'posta in arrivo (1)' in grassetto.
    > Dopodichè comincio una disperata ricerca di
    > questa fantomatica mail,inutile.
    > Poi esco e rientro niente,nessuna posta in
    > arrivo.Misteri del codice!

    Mah, a me non succede mai. Hai provato a svuotare la cache del browser, nel caso il problema fosse lì?
  • le ho provate tutte giuro,no lo fa sia dall'ufficio che da casa poi...boh poi ormail'ho relegata a mail per la fuffa quindi non è che me ne freghi,ma non ci fanno una bella figura comunque!
    non+autenticato

  • - Scritto da: Anonimo
    > le ho provate tutte giuro,no lo fa sia
    > dall'ufficio che da casa poi...boh poi ormail'ho
    > relegata a mail per la fuffa quindi non è che me
    > ne freghi,ma non ci fanno una bella figura
    > comunque!

    Non facciamo di tutta l'erba un fascio....
    diamine, a me è sempre funzionato tutto benissimo
    e non ho mai avuto il minimo problema, visto
    che uso tale webmail tutti i santi giorni, sia da win che da linux.
    Se non siete capaci di usare i pc, leggetevi i manuali!
    Non date la colpa agli altri!
    hola...
    non+autenticato
  • guarda non sono l'utente di prima
    ma a me email.it dai il medesimo problema,

    non credo che sia incapacità dell'utente, ma un errore di email.it, fatto sta che io ho provato su varii pc CASA/LAVORO/AMICI
    e con varii browser e il problema resta.

    Quindi caro impiegato di email.it prima di insultare il prossimo cerca di tappare i problemi del proprio servizio o devo per forza passare all'email pro per vedere qualcosa di funzionante ?
    non+autenticato
  • Stesso identico problema anche a me!
  • A me dava lo stesso problema, e mi e' stato detto che era a causa dei filtri, infatti il numero che mi indicava appena aperto la webmail comprendeva anche le mail bloccate o filtrate.
    Ciao a tutti
    non+autenticato
  • io ho preferito email.it ad altri che offrono lo stesso servizio altrettanto gratuitamente, ma ora mi sto ricredendo, ricevo lettere da me stesso e mail da societa' importanti che gentilmente aprono finestre che mi accompagnano al loro sito ...
    a email.it, non dico di fare chissa' cosa, ma svegliamoci, anche perche', a differenza di me, c'e' gente che ha creduto nei tuoi servizi a pagamento, almeno spero che i servizi fossero vostri ...:|
    non+autenticato
  • Ogni volta che mi connetto in https a email.it e dò la password firefox mi avverte che nonostante la pagina iniziale sia in https i dati del from viaggieranno in chiaro sulla rete.
    IE invece non batte ciglio
    C'è da fidarsi?

    ==================================
    Modificato dall'autore il 13/09/2005 0.14.17
  • - Scritto da: Ultimo
    > Ogni volta che mi connetto in https a email.it e
    > dò la password firefox mi avverte che nonostante
    > la pagina iniziale sia in https i dati del from
    > viaggieranno in chiaro sulla rete.
    > IE invece non batte ciglio
    > C'è da fidarsi?

    La pagina iniziale è in https, ma tutti i server dove sta il motore della webmail stanno su http, quindi tutti i dati, compresi username e password, sono in chiaro.
  • ma a voi funziona il comando cerca della free email di email.it ?

    da quando questi di email.it hanno abbandonato il servizio offerto da libero (credo) , questa webmail non mi funziona piu In lacrime
    non+autenticato
  • - Scritto da: Anonimo
    > ma a voi funziona il comando cerca della free
    > email di email.it ?
    >
    > da quando questi di email.it hanno abbandonato il
    > servizio offerto da libero (credo) , questa
    > webmail non mi funziona piu In lacrime

    Un comando per cercare all'interno delle email? Sinceramente non sapevo neanche che esistesse... comunque ai tempi in cui si appoggiava su Libero non usavo molto la webmail.

  • - Scritto da: francescor82
    > - Scritto da: Ultimo
    > > Ogni volta che mi connetto in https a email.it
    > e
    > > dò la password firefox mi avverte che nonostante
    > > la pagina iniziale sia in https i dati del from
    > > viaggieranno in chiaro sulla rete.
    > > IE invece non batte ciglio
    > > C'è da fidarsi?
    >
    > La pagina iniziale è in https, ma tutti i server
    > dove sta il motore della webmail stanno su http,
    > quindi tutti i dati, compresi username e
    > password, sono in chiaro.

    ah beh, perfetto allora.

    con google mail come siamo, invece? a posto?
    non+autenticato
  • > con google mail come siamo, invece? a posto?

    Per Gmail non posso darti una risposta in tutta sicurezza, ma prima, durante e dopo il login la barra di firefox rimane sempre gialla, e l'indirizzo è sempre qualcosa tipo https://
    A meno che non passi per un microsecondo attraverso un URL del tipo http:// (e comunque non ne vedo il motivo), Gmail dovrebbe essere del tutto protetto. Per la cronaca, mi sembra che all'inizio il servizio non fosse tutto in https, ma solo il login.