"Un bug molto grave, non c'è che dire", ha commentato Bochicchio. "Si può avere accesso alla posta di un utente collegato alla Webmail di TiscaliNet semplicemente ottenendo il suo indirizzo di referrer. Fino alla scadenza della sessione, è sufficiente inserire l'URL esatto et voilà: come per magia, si potrà accedere alla mailbox di un utente loggato sul Web in quel momento".
Basterebbe ad esempio far circolare una mail o una newsletter che abbia come unico intento quello di far cliccare gli utenti su di un certo "indirizzo trappola" in cui vengano registrati tutti i referrer dei visitatori.
"E' un bug grave - continua Bochicchio - soprattutto perché, sebbene possa in teoria essere sfruttato solo da chi dispone di un server Web e nel caso in cui l'utente acceda a quel server dalla sua mailbox, una volta scoperto (e non è detto che qualcuno non lo abbia fatto prima di voi) potrebbe davvero essere alla portata di un bel po' di malintenzionati."
A tal proposito, e visto che purtroppo non conosciamo i tempi di intervento di TiscaliNet, è bene che gli utenti del noto servizio di Webmail evitino di cliccare URL sconosciuti contenuti all'interno delle loro e-mail quando queste vengano lette su Web.
Da un'analisi delle e-mail inviate tramite la Webmail di TiscaliNet, Bochicchio ha potuto verificare che il prodotto utilizzato da Tiscali per la gestione del suo sistema di posta on-line è VisualMail 3.0. Da una veloce ricerca sul database di security-focus.com non sembrerebbe che questo software soffra di un bug noto simile a quello descritto qui.
Il nostro esperto ha poi fatto notare che il sistema di Webmail di Tiscalinet "si basa unicamente su di un cosiddetto 'time stamp', ovvero una codifica dell'ora corrente: dunque non c'è nessun controllo, neanche minimo, sulla correttezza della sessione e sull'identità della persona che accede al servizio. Sarebbe bastato usare - sempre a parere di Bochicchio - un semplice cookie per garantire ai propri utenti quella sicurezza che Tiscali, uno tra i maggiori ISP europei, non può certo mettere in secondo piano".
Bochicchio conferma le indagini fatte dallo staff di Punto Informatico e sostiene che altri sistemi di posta Web, come ad esempio quello di SuperEva o di HotMail, "hanno sistemi che a prima vista sono più sicuri, in quanto non passano i dati sulla sessione con il metodo GET, evitando così vulnerabilità di questo tipo. Altri ancora effettuano un banale encoding della stringa contenuta nell'URL con una chiave privata o utilizzando un semplice shifting".