Virgilio, leggibili gli SMS degli utenti

Da un certo indirizzo web, accessibile senza password o avvisi di protezione, è possibile aprire log da 20 megabyte con dentro indirizzi email, numeri di cellulare e testi degli SMS - UPDATE

UPDATE a fondo pagina - Roma - Non c'è pace per i server di grandi fornitori di servizi italiani. Dopo la scoperta delle schede abbonato di Sky liberamente accessibili di cui ha parlato Punto Informatico nei giorni scorsi, ora emerge un'altra questione simile, dove ad essere visibili sono però i dati, testi compresi, di certi SMS inviati da Web.

Accedendo ad un servizio di Virgilio-TIN.it, un utente ha infatti potuto scoprire una directory che contiene i file di log del sistema di invio degli SMS. Sono file da 20 megabyte con dentro tutto quello che va dal testo degli SMS inviati all'indirizzo email di chi li ha spediti, dal numero di telefono del destinatario all'orario e al giorno della spedizione. A quei file, e a quella pagina, si accede senza che venga richiesta alcuna password né che si venga in alcun modo avvertiti che si tratta di materiali riservati eccetera.

Va detto, però, che trovare quella URL non è semplice. Scrive Alessandro "mi sono imbattuto nella directory (omissis, ndr.)" dove "con grande stupore ho trovato dei file di log leggibili pubblicamente contenenti l'elenco degli sms". La directory individuata da Alessandro ("dedico alla mia Danila questa scoperta") era peraltro già segnalata in rete. Punto Informatico ha potuto individuare la URL che conduce ai log anche in un post pubblicato su Usenet da un altro utente italiano alcuni mesi fa.
In quei log, come è facile immaginare, messaggi privati o privatissimi, cose come:

- "Ihihhih bello Edi:D adoro pure paperino e zio paperone:P e il bello è ke li leggo ankora in gran segreto:P"
- Ok ma tu promettimi di esprimerti più liberamente,senza nascondere nulla.Se mi vuoi dire che ti manco fallo non pensarci troppo,ok?
- va bene..allora ci vediamo domani sera, buona notte piccolina

Virgilio è stato avvertito da Punto Informatico di quanto accaduto ed è dunque probabile che questa modalità di accesso sia presto inibita. Inibire l'accesso del pubblico ai dati degli utenti, anche se relativo ad altra situazione, è quanto scelto da Sky poche ore dopo la pubblicazione dell'articolo di PI sull'argomento.

UPDATE ore 5: Il server di Virgilio-TIN non è più raggiungibile pubblicamente.
127 Commenti alla Notizia Virgilio, leggibili gli SMS degli utenti
Ordina
  • Beh adesso che hanno chiuso il tutto, qualcuno mi sa dire come si riusciva ad entrare? sono veramente curioso....A bocca aperta
    non+autenticato
  • Perché non vai a giocare sull'autostrada invece che stare lì a fare il guardone?

    Bah...
    non+autenticato
  • entravi in communicator+, aprivi la pagina degli sms, copiavi e incollavi l'indirizzo di quella pagina nella barra del browser, eliminavi l'ultima parte e potevi visualizzare file e cartelle, tra cui anche "log"
    così ho fatto io
    non+autenticato
  • Che storia!Sorpresa
    non+autenticato
  • visto ke c'è una LEGGE ke OBBLIGA ki detiene dati sensibili A GARANTIRNE la privacy, non sarebbe il caso ke gli amici della polizia postale andassero da virgilio e gli facessero un bel culetto? ke visto ke stanno succedendo troppi casi un bel punirne uno per educarne cento non sarebbe malvagio?
    scherzi a parte queste sono proprio le cose ke dimostrano quanto sia importante NON avere dati immagazzinati in modo centralizzato, sensibili o benanche di quella semplice educaziono ke insegna a non ascoltare i discorsi degli altri, xè quantunque sia previsto ke tali dati siano riservati, alla fine per errore umano (o carenza grave della preparazione fornita dalla facoltà di scienze della comunicazione) alla fine diventano pubblici?
    P.S. scusate la sgrammmatikezza, kolpa della morettiSorride
    non+autenticato

  • - Scritto da: Anonimo
    > P.S. scusate la sgrammmatikezza, kolpa della
    > morettiSorride

    LOL
    la birra?A bocca aperta
    non+autenticato
  • non si tratta di un bug, ma di una misconfigurazione
    la differenza è sostanziale.
    chi è il pazzo? chi ha riportato la notizia o chi ha configurato il server?
    opuure ancora chi ha ingaggiato queste persone per configurare la "security"?
    non+autenticato

  • - Scritto da: Anonimo
    > non si tratta di un bug, ma di una
    > misconfigurazione
    > la differenza è sostanziale.
    > chi è il pazzo? chi ha riportato la notizia
    > o chi ha configurato il server?
    > opuure ancora chi ha ingaggiato queste
    > persone per configurare la "security"?

    Il pazzo che ha segnalato l'enorme svista sono io...ma la pazzia sta' nel aver dedicato la segnalazione alla mia ex Sorride che approfitto ancora per salutarla: ciao Danila!! SorrideOcchiolino
    non+autenticato
  • Qui l'unico "sano di mente" e' chi ha scoperto il problema e lo ha segnalato PRIVATAMENTE.
    Chi ha configurato quel server non era (ovviamente) all'altezza del suo compito.
    Chi ha riportato la notizia invece si e' preoccupato di trarne profitto (perche' il profitto per un giornale sono le notizie) dimenticandosene della privacy della gente.
    La privacy era gia' violata, e su questo siamo d'accordo tutti, ma vogliamo vedere quante persona hanno scaricato quei log PRIMA che la notizia fosse pubblicato su P.I. e quante l'hanno fatto DOPO?

    Cosa sarebbe costato a P.I. avvertire privatamente Tin.it (cosa che hanno fatto), aspettare la soluzione al problema, e POI pubblicare la notizia? Gli sarebbe costato lo "scoop" appunto, ma io "eticamente" preferirei ritardare una notizia piuttosto che sventolare gli affari della gente comune! Perche' di questo si e' trattato: "Pubblichiamo la notizia.. poi che ce ne frega se tutti vanno a scaricarsi i log.. intanto noi ci guadagnamo un articolo".

    Io non ho MAI messo in discussioni le responsabilita' del provider (e' chiaro come il sole che ci sono TUTTE), ma critico pure la "leggerezza" con cui certe volte vengono prese delle decisioni, decisioni di P.I. che QUESTA VOLTA a me paiono azzardate. Tutto qui.
    non+autenticato
  • > La privacy era gia' violata, e su questo
    > siamo d'accordo tutti, ma vogliamo vedere
    > quante persona hanno scaricato quei log
    > PRIMA che la notizia fosse pubblicato su
    > P.I. e quante l'hanno fatto DOPO?

    Non ti preoccupare, non lo sapremo mai.
    Sappiamo solo che c'era quel buco, magari stava li' da mesi, magari no', chi lo poteva sfruttare per farci qualcosa (cosa poi) lo ha fatto senza bisogno di aspettare PI.


    > che sventolare gli affari della gente
    > comune!

    Conosci qualcuno? La mia impressione e' che l'unico vantaggio che si potrebbe trarne da quei log fossero gli indirizzi di posta elettronica. Nessuno, in realta', era identificabile e lo spam sia sui cellulari che sull'email e' reato.
    Dunque...


    > Io non ho MAI messo in discussioni le
    > responsabilita' del provider (e' chiaro come
    > il sole che ci sono TUTTE), ma critico pure
    > la "leggerezza" con cui certe volte vengono
    > prese delle decisioni, decisioni di P.I. che
    > QUESTA VOLTA a me paiono azzardate. Tutto
    > qui.

    A me no. Mi pare interessante che dopo quattro o cinque ore dalla pubblicazione dell'articolo il buco non ci fosse piu'. Chi e' stato danneggiato da tutto questo? In tutta sincerita' dubito che possano esserlo stati gli sconosciuti non riconoscibili utenti che hanno inviato SMS.

  • > > Io non ho MAI messo in discussioni le
    > > responsabilita' del provider (e' chiaro
    > come
    > > il sole che ci sono TUTTE), ma critico
    > pure
    > > la "leggerezza" con cui certe volte
    > vengono
    > > prese delle decisioni, decisioni di P.I.
    > che
    > > QUESTA VOLTA a me paiono azzardate. Tutto
    > > qui.
    >
    > A me no. Mi pare interessante che dopo
    > quattro o cinque ore dalla pubblicazione
    > dell'articolo il buco non ci fosse piu'. Chi
    > e' stato danneggiato da tutto questo? In
    > tutta sincerita' dubito che possano esserlo
    > stati gli sconosciuti non riconoscibili
    > utenti che hanno inviato SMS.
    >

    Concordo. Sono stato io a fare la segnalazione e ho ritenuto che la voce di punto informatico sicuramene aveva piu' ascolto della mia, anche da parte di Virgilio. Se avvertito Virgilio come minimo prima mi arrestavano e poi tacevano e negavano il tutto. E siccome sono stanco di prenderlo nel dietro allora ho preferito rendere pubblica la cosa.
    Vuoi sapere la cosa buffa? Ero piu' entusiasta di dedicare il tutto ad una ragazza piuttosto che della scoperta stessa...
    O allora...son fatto cosi'...cosa ci vuoi fare...

    Un saluto,
    Alessandro
    non+autenticato
  • Non solo Virgilio deve stare in silenzio ma deve ringraziare che in rete ci sono delle persone piu sveglie dei loro programmatori che quindi hanno segnalato il problema.
    Spero almeno che la loro "svista" sia reale e che nn abbiano tenuto questi log apposta non protetti pensando che nessuno ci sarebbe arrivato senza conoscere l'url.Ficoso
    non+autenticato
  • Se non sbaglio il sistema smistava anche i SMS degli utenti ALICE Sorride

    Saluto,
    Alessandro
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 28 discussioni)