Link alla notizia: http://www.hwfiles.it/news/citigroup-furto-di-dati-per-centinaia-di-migliaia-di-utenti_37168.html

Anche Citigroup, la più grande azienda di servizi finanziari mondiale, nel mirino dei malintenzionati. Sottratti nomi, email e numeri di conto di circa 200.000 clienti

Click sul link per visualizzare la notizia.

non sono tecniche avanzate, anzi!
Quando le aziende la smetteranno di spendere milioni di euro in attrezzature di dubbia utilità ed investire in personale qualificato?
Pensano davvero che basti un firewall da 200000 euro/dollari ed un tizio da 1200 euro al mese per proteggersi?

Beh, da quel poco che ne capisco sono arrivato ad una semplice conclusione, è solo questione di tempo ma tutti i sistemi di sicurezza sono potenzialmente violabili!
Come era quel vecchio "detto"?
Un Computer sicuro è un computer dentro uno stanzino, scollegato da Internet, scollegato da qualsiasi rete LAN e SPENTO! :-)

Meno male che c'è gente come "Kars" che sa perfettamente come aziende multinazionali siano strutturate a livello informatico e come bisogna fare per renderle sicure, con una frase degna delle "100 ovvietà del mondo informatico".
Pensa che mica lo sapevano che devevano investire in tecnici specializzati, avevano messo il bidello delle scuole medie del figlio del presidente della compagnia, dopo averli fatto superare l'ECDL XD !!!

Se non rilasciano ulteriori dichiarazioni (tipo di attacco, dove erano mantenuti i dati ecc) non si può fare alcuna teoria sensata... magari è un dipendente scontento che ha pensato di fare qualche soldo extra

Meno male che c'è gente come "Kars" che sa perfettamente come aziende multinazionali siano strutturate a livello informatico e come bisogna fare per renderle sicure, con una frase degna delle "100 ovvietà del mondo informatico".
Pensa che mica lo sapevano che devevano investire in tecnici specializzati, avevano messo il bidello delle scuole medie del figlio del presidente della compagnia, dopo averli fatto superare l'ECDL XD !!!


:asd:

Certo che viene una voglia di affidare i propri dati a queste aziende...

Come era quel vecchio "detto"?


"L'unico computer sicuro è quello spento, dentro una cassaforte in fondo al mare"
Capisc'ammè :-)

Cià
L.

pure Codemaster è stata attaccata:
Gentilissimo cliente Codemasters,

Lo scorso 3 giugno abbiamo rilevato un accesso non autorizzato al nostro sito Codemasters.com. Non appena abbiamo notato l'interferenza, abbiamo immediatamente messo offline sia Codemasters.com che tutti i servizi Web a esso associati per evitare ulteriori intrusioni.

Nei giorni immediatamente successivi a questo spiacevole avvenimento abbiamo effettuato delle indagini per accertare l'ambito e la portata della suddetta violazione e con nostro grande dispiacere abbiamo scoperto che l'intruso è riuscito ad accedere a:

Sito Web Codemasters.com

Accesso al sito Web aziendale di Codemasters e ai suoi sottodomini.

Pagina per il riscatto del codice VIP DiRT 3

Accesso alla pagina per il riscatto del codice VIP DiRT 3.

Estore di Codemasters

Riteniamo che siano state compromesse le seguenti funzionalità: nomi e indirizzi clienti, indirizzi e-mail, numeri di telefono, password criptate e cronologie ordini. Nota bene: all'interno del sito di Codemasters vengono memorizzate le informazioni personali di pagamento, ciò significa che i dettagli relativi ai pagamenti non sono mai stati a rischio, nemmeno durante questa violazione.

Database Codemasters CodeM

Riteniamo che: nomi degli membri, nomi utente, nomi a schermo, indirizzi e-mail, date di nascita, password criptate, preferenze newsletter, biografie inserite dagli utenti, cronologia delle attività su altri siti, indirizzi IP e Gamertag Xbox Live siano stati tutti compromessi.

Sebbene non vi sia conferma che questi dati siano stati effettivamente scaricati su un dispositivo esterno, dobbiamo presumere che, poiché vi è stato un accesso, tutte queste informazioni siano state compromesse e/o rubate.

Per il prossimo futuro il sito Internet di Codemasters.com rimarrà offline e tutto il traffico verrà reindirizzato sulla pagina Facebook di Codemasters. Il nuovo sito sarà online verso la fine dell'anno.

Consigli

Per la tua sicurezza ti consigliamo prima di tutto di cambiare tutte le password associate agli account Codemasters. Se usavi le stesse informazioni di accesso anche per altri siti dovresti modificare anche quelle. Inoltre, cerca di essere estremamente prudente rispetto a potenziali imbrogli via e-mail, via telefono o posta, con i quali ti potrebbero essere richieste informazioni personali o private. Ricorda che Codemasters non ti chiederà mai dati di pagamento come i numeri delle carte di credito o le informazioni bancarie, così come non ti chiederà né password e nemmeno altri dati personali. Ricorda che potresti ricevere e-mail fasulle che potrebbero sembrare di Codemasters, contenti link che ti chiedono di visitare altri siti Internet; il modo più sicuro per visitare i tuoi siti preferiti è di inserire manualmente l'indirizzo nella barra degli indirizzi del tuo browser.

Sfortunatamente, Codemasters è solo l'ultima vittima di attacchi di questo tipo contro le aziende specializzate in videogiochi. Ti assicuriamo che stiamo facendo tutto ciò che ci è possibile, nei limiti dei nostri mezzi legali, per individuare i responsabili e agire contro di loro nel pieno rispetto delle leggi.

Stiamo contattando tutti i clienti che potrebbero essere direttamente interessati.

Ci scusiamo per questo problema e siamo spiacenti se ciò ti avesse causato un qualsiasi inconveniente.

In caso di dubbi o se desideri parlare con uno dei membri del nostro servizio clienti, invia una e-mail a: custservice@codemasters.com.

Meno male che c'è gente come "Kars" che sa perfettamente come aziende multinazionali siano strutturate a livello informatico e come bisogna fare per renderle sicure, con una frase degna delle "100 ovvietà del mondo informatico".
Pensa che mica lo sapevano che devevano investire in tecnici specializzati, avevano messo il bidello delle scuole medie del figlio del presidente della compagnia, dopo averli fatto superare l'ECDL XD !!!

Se non rilasciano ulteriori dichiarazioni (tipo di attacco, dove erano mantenuti i dati ecc) non si può fare alcuna teoria sensata... magari è un dipendente scontento che ha pensato di fare qualche soldo extra

bravo ora che hai fatto la battuta ti senti meglio? ora torna a scuola

bravo ora che hai fatto la battuta ti senti meglio? ora torna a scuola

indubbiamente la cacata l'hai detta tu

non sono tecniche avanzate, anzi!
Quando le aziende la smetteranno di spendere milioni di euro in attrezzature di dubbia utilità ed investire in personale qualificato?
Pensano davvero che basti un firewall da 200000 euro/dollari ed un tizio da 1200 euro al mese per proteggersi?

Il problema è che in certi ambiti è difficile "misurare il personale" ed è anche difficile capire quando qualcuno "sta perdendo colpi".

Una volta ci si doveva difendere da relativamente pochi hacker/cracker ed i sistemi critici avevano meno vettori d'attacco, ora invece basta che uno abbastanza bravo militarizzi un tool e lo renda accessibile (come complessità d'uso) agli script kiddie e dall'ieri all'oggi ti ritrovi a combattere contro l'equivalente di orde di locuste mentre hai solo roba utile per la caccia agli orsi di ieri.

Ho cercato qualche notizia altra riguardo come hanno fatto a penetrare Citigroup ed ho trovato questo: :eek:
http://www.smh.com.au/business/citigroup-hack-was-seemingly-simple-but-ingenious-20110614-1g1x1.html

A quanto pare Citigroup si è fatta fare da degli incapaci totali la parte del sito che gestisce l'accesso alle funzioni riservate ai possessori di carta di credito. :eek:

Secondo l'articolo, quando si accede al sito inserendo il codice della propria carta di credito si viene ridirezionati ad una pagina
CON UN URL CHE CONTIENE IL CODICE DELLA CARTA DI CREDITO
(non è chiaro se il codice è almeno "mascherato in modo leggero" in qualche modo o se compare in chiaro nell'URL, ma fa poca differenza) e nessun altro controllo aggiuntivo. :eek:

Quindi i tipi non hanno dovuto far altro che usare un utility che genera per tentativi URL di accesso cambiando la parte che contiene il codice (a caso oppure usando codici progressivi, non è chiaro, ma basta che sia fatto senza troppe ripetizioni di tentativi dallo stesso indirizzo IP e con il tempo qualcosa si becca). :doh:

Non è ne una tecnica nuova e neppure tanto insolita, anni fa era molto facile entrar dentro a siti p0rn :oink: a pagamento usando una tecnica simile, ma con il tempo quelli si sono svegliati ed ora non funziona più. :doh:

indubbiamente la cacata l'hai detta tu

che cacata avrei detto? visto che siete degli illuminati, illuminatemi

Il problema è che in certi ambiti è difficile "misurare il personale" ed è anche difficile capire quando qualcuno "sta perdendo colpi".

Una volta ci si doveva difendere da relativamente pochi hacker/cracker ed i sistemi critici avevano meno vettori d'attacco, ora invece basta che uno abbastanza bravo militarizzi un tool e lo renda accessibile (come complessità d'uso) agli script kiddie e dall'ieri all'oggi ti ritrovi a combattere contro l'equivalente di orde di locuste mentre hai solo roba utile per la caccia agli orsi di ieri.

la difesa non puoi farla solo a livello di rete ma anche a livello di applicazioni.
Infatti la maggiorparte delle volte gli hacker sfruttano queste vulnerabilità, vedi il cross site e l'sql injection, ma di solito chi fà le applicazioni ci capisce poco di sicurezza e chi fa la sicurezza ci capisce poco di applicazioni

che cacata avrei detto? visto che siete degli illuminati, illuminatemi




non sono tecniche avanzate, anzi!
Quando le aziende la smetteranno di spendere milioni di euro in attrezzature di dubbia utilità ed investire in personale qualificato?
Pensano davvero che basti un firewall da 200000 euro/dollari ed un tizio da 1200 euro al mese per proteggersi?



Sarei dispostissimo a scusarmi pubblicamente, se giustificassi questa risposta.
Parliamo di una azienda quotata in borsa, non dell' ufficio dietro casa (per il quale, seppure con le dovute proporzioni, non potrei che farti il coro).
Non c'e' "un tizio da 1200€...".

tralasciando il fatto che hai detto che solo io ho detto una cacata quando ho ripreso il tipo che diceva che la mia era una cosa ovvia, mentre tu dici che non è vero che le cose stanno così.
Conosco e collaboro con decine di aziende internazionali che fanno prodotti di sicurezza e aziende spa che hanno appalti statali e non, ovviamente non posso pubblicare le loro buste paga, ma le cose stanno come le ho descritte.
Puoi non credermi e sinceramente non m' interessa, il mondo in cui lavoro lo conosco.