defacciato il sito delle poste italiane!!

[ziocan]

è un po che non scrivo qui.. dovevo fare una ricarica postepay dal bancoposta online e sorpresa!



lode ai signori hacker.. anche se sinceramente in quanto cliente di posteitaliane non nego di essere un po preoccupato...

[monkey.d.rufy]

ora il sito nn è raggiungibile, a mio avviso è inaccettabile

[fluke81]

meno male che tanto ho solo la postepay dove non c'è un euro

[g4be]

grazie per l'immagine, la stavo cercando...


ma rischia chi è registrato al sito o qualunque correntista?

[andyweb79]

Meno male che ho chiuso il conto alle poste da ora mai due anni. Va bene solo a tenerci due soldi, ma se solo inizi a usarlo come pagamento utenze ecc diventa una monnezza... Bella sicurezza

[kevindavidmitnick]

cazzo

anche se credo in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

[Killian]

di recente perlomeno hanno sostituito il vecchio codice con 10 caratteri con un apparecchio fisico che genera dei codici, per le operazioni on-line che riguardano le movimentazioni di conto, quindi se non altro violando il DB un malintenzionato avrebbe solo la possibilità di sbirciare il saldo e l'estratto conto.

[Nockmaar]

Quote:

Originariamente inviato da kevindavidmitnick

cazzo

anche se credo in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

Quote:

Originariamente inviato da Killian

di recente perlomeno hanno sostituito il vecchio codice con 10 caratteri con un apparecchio fisico che genera dei codici, per le operazioni on-line che riguardano le movimentazioni di conto, quindi se non altro violando il DB un malintenzionato avrebbe solo la possibilità di sbirciare il saldo e l'estratto conto.

Partiamo dal presupposto che, come tutte le banche, i dati dei conti sono su sistemi host e praticamente irraggiungibili da fuori.
Il problema è che per l'accesso al sito di Poste, invece, basta un nome utente e una password di massimo otto caratteri ( ridicolo ). Niente altro.

L'apparecchio fisico di cui parli, invece, serve per autorizzare le transazioni, dalle ricariche postepay ai bonifici. A parte la scomodità di portarsi un affare del genere appresso, comunque non viene sfruttato per l'accesso al conto.

Da quel che so da anni Poste sta cercando di mettere in piedi un sistema tipo l'o-key di San Paolo, ma senza successo.

Un defacement non è nulla di cui preoccuparsi, ma la sicurezza di Poste è veramente ai minimi termini, anche per quanto riguarda le transazioni con gli ATM.

[mandrake811]

Si ma un conto è defacciare un sito, un conto è accedere ai dati sensibili criptati. E poi il server è stato subito staccato. E quasi impossibile penso accedere ai dati degli utenti.

[RiccardoS]

Quote:

Originariamente inviato da Nockmaar

Da quel che so da anni Poste sta cercando di mettere in piedi un sistema tipo l'o-key di San Paolo, ma senza successo.

Un defacement non è nulla di cui preoccuparsi, ma la sicurezza di Poste è veramente ai minimi termini, anche per quanto riguarda le transazioni con gli ATM.

perchè? in cosa differiscono gli ATM delle poste da quelli delle altre banche?

p.s. sono anni che ho il bancopostaonline e sinceramente, con un uno un minimo oculato, ovvero rispettando le basilari norme di sicurezza, e mai avuto problemi.
non ci sarebbe mai stato nemmeno bisogno del trabiccolo, il codice a 10 cifre era ben più che sufficiente... ma ci son certi polli in giro... anzi... certi "pesci"...

[Nockmaar]

Quote:

Originariamente inviato da RiccardoS

perchè? in cosa differiscono gli ATM delle poste da quelli delle altre banche?

p.s. sono anni che ho il bancopostaonline e sinceramente, con un uno un minimo oculato, ovvero rispettando le basilari norme di sicurezza, e mai avuto problemi.
non ci sarebbe mai stato nemmeno bisogno del trabiccolo, il codice a 10 cifre era ben più che sufficiente... ma ci son certi polli in giro... anzi... certi "pesci"...

Differiscono ad esempio nella gestione delle chiavi di scambio con i sistemi host ( fondamentali per la cifratura delle transazioni ) oppure in operazioni meno critiche ma comunque importanti, come lo storno in caso di prelievi fantasma.

Poi, per chi ne ha bisogno, non è possibile versare in un ATM, almeno per ora.

[RiccardoS]

Quote:

Originariamente inviato da andyweb79

Meno male che ho chiuso il conto alle poste da ora mai due anni. Va bene solo a tenerci due soldi, ma se solo inizi a usarlo come pagamento utenze ecc diventa una monnezza... Bella sicurezza

il bancoposta ti permette di fare tutto ciò che fai con un c/c bancario e pure di più: bollettini di tutti i tipi, vaglia e tutti gli altri servizi delle poste e la sicurezza è ottima, basta non essere dei polli e abboccare alla prima mail che ti domanda i dati. come succede peraltro per i c/c bancari.

[kevindavidmitnick]

Quote:

Originariamente inviato da RiccardoS

il bancoposta ti permette di fare tutto ciò che fai con un c/c bancario e pure di più: bollettini di tutti i tipi, vaglia e tutti gli altri servizi delle poste e la sicurezza è ottima, basta non essere dei polli e abboccare alla prima mail che ti domanda i dati. come succede peraltro per i c/c bancari.

ineffetti il bancoposta è un buon servizio, ed è sicuramente più economico che tenere un conto in banca

[monkey island]

Quote:

Originariamente inviato da kevindavidmitnick

cazzo

anche se credo in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

Quote:

Originariamente inviato da mandrake811

Si ma un conto è defacciare un sito, un conto è accedere ai dati sensibili criptati. E poi il server è stato subito staccato. E quasi impossibile penso accedere ai dati degli utenti.

Quoto, hanno cambiato solo l'homepage.. i dati sensibili sono criptati in un altro server..
Hanno solo voluto fare i fenomeni per sputtanare Poste Italiane..

[Tuvok-LuR-]

Quote:

Originariamente inviato da monkey island

Quoto, hanno cambiato solo l'homepage.. i dati sensibili sono criptati in un altro server..
Hanno solo voluto fare i fenomeni per sputtanare Poste Italiane..

Se avessero voluto avrebbero potuto ben altro...il problema era serio e conosciuto da un pezzo, legato ad una vulnerabilità della pagina salastampa.poste.it
http://unu1234567.baywords.com/2009/...sql-injection/

[musica_maestro]

Assurdo.
Non sapevo di questa notizia.
Che figura!

Comunque teoricamente, anche se non me ne intendo, mi sembra qualsiasi network ha delle potenziali falle.
E' vero?

[sempreio]

per me c' è lo zampino di qualche banca online

[musica_maestro]

Quote:

Originariamente inviato da filippom

"Un computer sicuro è un computer spento"

cit. Kevin Mitnick

"C'è computer e computer"

cit. Musica_maestro


Ok che ogni sistema potrebbe avere delle falle teoriche, ma qui parliamo di milioni (se non miliardi di euro) che la posta gestisce.

"Di sicuro a questo mondo non c'è nulla, non solo i computer"
cit. Musica_maestro

[monkey island]

Possibile che nessuno abbia ancora capito che questi hackeronzoli da 4 soldi non hanno fatto altro che defacciare un sito sfruttando qualche falla di sicurezza. Punto. Il database con i dati personali dei clienti NON risiede certo su quel server, ed inoltre è dietro svariati firewall hardware e software... tutto criptato.. non è certo una cosa alla portata di comuni "hacker" nostrani..
Volevano solo attirare l'attenzione su di loro o forse, più facilmente, screditare le Poste..

[musica_maestro]

Farsi defacciare un network di quella portata quindi è una cosa normale, sicura?

Perché le Poste italiane non indicono il concorso a chi defaccia meglio?
Tanto non comporta nulla, i dati sono sicuri.


Credo che qui non si capisce che il defacciamento di un sito può, con incroci di email o di azioni mirate, neanche tanto difficili da farsi, portare migliaia di utenti (se il defacciamento si protrae per un lasso di tempo sufficiente), visitatori/clienti ad inserire dati e quant'altro sui database criptati e sicuri NON della posta, ma degli hackerucoli che se la ridono e godono nel mare di qualche isola del pacifico.

Oltre all'attenzione, avrebbero potuto (ripeto avrebbero), quindi attirare qualcos'altro...

Il database o i database di piattaforme dinamiche come quelli fanno riferimento a dati, html, plugin, servizi, motore del sito...
Ad esempio quello della pagina html defacciata è stato toccato.
O probabilmente hanno solo messo un file statico in html al posto della index della home.
I dati criptati poi possono o essere decriptati in alcuni casi o anche semplicemente ri-sfornati dal database stesso in chiaro.
Insomma non so bene come è stato il risultato del defacciamento ma CREDO che i rischi sono molto ma molto elevati.