poste.it sotto attacco?

[Pipppos]

è tornato funzionante?
qualcuno può provare per favore?


Dovrei cambaire la password ma al mmento non mi fido tanto

[Raven]

no...

[Pipppos]

Grazie, aspetto notizie per domani allora

[Rizlo+]

Confermo che il cambio password ancora NON FUNZIONA.

Io ho il conto corrente su bancoposta e come avrete notato dai miei post precedenti sono sempre più incaxxxxo con Poste Italiane.

Cambio password inibito == siamo ancora a rischio

Eh si perchè non sappiamo in che mani siano finite le utenze + hash MD5 nel mese precedente al defacement...

Mi piacerebbe almeno sapere se poste italine è al corrente del cambio password non funzionante DA DOMENICA...

E' TUTTO A POSTO UN CORNO!!

[rgart]

io ai miei ho cambiato la password ieri... e ha funzionato...

questo non toglie che poste.it sia un servizio di cacca...

[Pipppos]

Quote:

Originariamente inviato da rgart

io ai miei ho cambiato la password ieri... e ha funzionato...

sei sicuro che il servizio era di poste italiane?


qualche pagina farlocca similposte con login ruba-dati magari

[Onisem]

Io non capisco perchè la gente si faccia il conto in posta... Boh! Non sanno fare bene nemmeno il loro lavoro di posta, come si può pensare facciano bene la banca?

[Rizlo+]

Uhm... sempre più mistero allora...

E' da domenica mattina che provo a cambiare la password e mi dice sempre che è sbagliata nonostante sia giusta perchè è quella con cui sono entrato nell'account...

Qualcun altro è riuscito a cambiare la password?

[Rizlo+]

@Onisem

Io mi sono trovato sempre benissimo con il conto bancoposta, mai un problema, un ritardo o un disservizio...

Certo è che con questa storia della vulnerabilità sul sito mi son caduti moooolto in basso. Più che per l'esistenza della vulnerabilità per come hanno gestito tutta la questione...

Molti di voi hanno il conto online con una banca credendo che per il fatto di essere una banca hanno un sistema sicurissimo per cui un problema come quello capitato a poste.it sarebbe impossibile. In realtà non c'è nessuna certezza su questo, una vulnerabilità potrebbe essere scoperta anche sul servizio online della più affidabile delle banche... Certo mi aspetto che diano un peso maggiore a eventuali segnalazioni/scoperte, non come ha fatto poste.
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

[Gennarino]

Quote:

Originariamente inviato da Rizlo+

...snip...
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

... perche' si parte dal presupposto (sbagliato) che Banca = Soldi = Investimenti in sicurezza
(scusami Rizlo+ se ho terminato il tuo passaggio)

Equazione errata, come ha anche detto Rizlo+, le banche piu' di ogni altra entita' economica mondiale investono maggiormente in risk assessment che in vulnerability assessment. Il loro ragionamento e':

"Dobbiamo pagare le assicurazioni perche' e' obbligatorio, allora ci creamo noi una nostra assicurazione a cui giriamo solo le fatture, evitiamo di spender troppo sulla sicurezza, sia fisica delle banche che su quella informatica, se e' il caso risarciamo il maltolto, sempreche' vi siano i presupposti, applichiamo condizioni ghigliottina sulle modalita di rimborso e accusiamo sempre il cliente di negligenza nella gestione della password. In casi estremi mettiamo in perdita all'assicurazione il rimborso e lo deduciamo dalle tasse con relativo incremento del premio assicurativo che sempre viene dedotto dalle tasse"

Se pensate che io sia contorto a ragionare cosi, sappiate che questo e' il metodo di ragionamento del management di qualsiasi banca nel mondo.
Preferisco pagare se accade qualcosa, piuttosto che spendere adesso...

[Rizlo+]

Gennarino ti quoto in pieno!

La solidità finanziaria dell'ente non ha nulla a che vedere con il livello di sicurezza fornito...

[Onisem]

Quote:

Originariamente inviato da Rizlo+

@Onisem

Io mi sono trovato sempre benissimo con il conto bancoposta, mai un problema, un ritardo o un disservizio...

Certo è che con questa storia della vulnerabilità sul sito mi son caduti moooolto in basso. Più che per l'esistenza della vulnerabilità per come hanno gestito tutta la questione...

Molti di voi hanno il conto online con una banca credendo che per il fatto di essere una banca hanno un sistema sicurissimo per cui un problema come quello capitato a poste.it sarebbe impossibile. In realtà non c'è nessuna certezza su questo, una vulnerabilità potrebbe essere scoperta anche sul servizio online della più affidabile delle banche... Certo mi aspetto che diano un peso maggiore a eventuali segnalazioni/scoperte, non come ha fatto poste.
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

Mah, io non credo che la sicurezza della banca presso cui ho il conto sia infallibile, ma non capisco che vantaggi possa offrire in più rispetto ad una banca tradizionale Poste Italiane, questo è il punto. E vedendo come fanno la posta... Inoltre già solo il fatto che abbiano una rete bancomat molto meno capillare per me è motivo sufficiente per rivolgermi a chi la banca la fa di mestiere.

[kingv]

Quote:

Originariamente inviato da Gennarino

Se pensate che io sia contorto a ragionare cosi, sappiate che questo e' il metodo di ragionamento del management di qualsiasi banca nel mondo.
Preferisco pagare se accade qualcosa, piuttosto che spendere adesso...

in generale è vero, ma anche la perdita di credibilità si paga.

[-kurgan-]

Quote:

Originariamente inviato da Rizlo+

@Onisem

Io mi sono trovato sempre benissimo con il conto bancoposta, mai un problema, un ritardo o un disservizio...

Certo è che con questa storia della vulnerabilità sul sito mi son caduti moooolto in basso. Più che per l'esistenza della vulnerabilità per come hanno gestito tutta la questione...

Molti di voi hanno il conto online con una banca credendo che per il fatto di essere una banca hanno un sistema sicurissimo per cui un problema come quello capitato a poste.it sarebbe impossibile. In realtà non c'è nessuna certezza su questo, una vulnerabilità potrebbe essere scoperta anche sul servizio online della più affidabile delle banche... Certo mi aspetto che diano un peso maggiore a eventuali segnalazioni/scoperte, non come ha fatto poste.
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

[elect]

Quote:

Originariamente inviato da Pipppos

sei sicuro che il servizio era di poste italiane?

[Onisem]

Quote:

Originariamente inviato da -kurgan-

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Ecco...

[RaouL_BennetH]

Quote:

Originariamente inviato da -kurgan-

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Ciao

Di sicuro mi fido ad occhi chiusi di quello che dici per le banche con cui hai avuto a che fare. Stessa cosa non posso dire per una determinata banca, alla quale segnalai (da utente ovviamente) una cosa abbastanza fastidiosa:

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

[Freeskis]

Quote:

Originariamente inviato da RaouL_BennetH

Ciao

Di sicuro mi fido ad occhi chiusi di quello che dici per le banche con cui hai avuto a che fare. Stessa cosa non posso dire per una determinata banca, alla quale segnalai (da utente ovviamente) una cosa abbastanza fastidiosa:

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

fighisssssimo
altro che phishing

[Gennarino]

Quote:

Originariamente inviato da -kurgan-

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Quanto tempo ci hanno messo le banche per cui hai lavorato ad implementare rispettivamente O-Key e RSA Token ? Diciamo una paio d'anni !!!!
Prima dell'introduzione avevano rispettivamente:

- un fogliettino con delle password dispositive monouso
- un'unica password dispositiva non modificabile dall'utente

Nel frattempo avevano gia' implementato l'home-banking e una delle banche che hai citato ha dovuto sborsare TANTO, per un caso di phishing andato a buon fine dove il magistrato ha riconosciuto la negligenza dell'istituto bancario nell'applicare tutte le dovute cautele al fine di tutelare l'utente, la banca ha arguito inversamente, ovvero che era stato l'utente negligente nel dare le password ad un sito simile a quello della banca.

E' chiaro che l'utente comune che affida i proprio denari ad una banca, non ha le capacita' tecniche che invece la banca dovrebbe avere.
Come mette una guardia giurata all'ingresso e pone delle barriere al fine di proteggere il proprio capitale e poi l'utente (l'ordine delle priorita' e' questo per la banca), al pari avrebbe dovuto attuarsi affinche' anche il servizio fornito via internet fosse protetto nella stessa maniera.

Ancora oggi le banche hanno delle pecche nella gestione delle vulnerabilita', una delle banche che hai citato ancora oggi ha le porte d'ingresso NON a bussola, perche' cambiarle tutte ha un costo e il rischio rapina ha un costo inferiore al cambio delle porte stesse.
Parimenti un sistema di protezione dei dati e degli accessi online ha un costo decisamente superiore rispetto all'implementazione, ma anche alla verifica stessa delle vulnerabilita' di un sito online.

In sostanza, meglio rimborsare 1000 euro fregati dal conto di un poveraccio, piuttosto che pagarne 10.000 per un'analisi della vulnerabilita, o 100.000 per costituire un team interno che verifichi con professionalita' e cognizione lo stato dell'infrastruttura informatica.

So' logorroico, lo so, ma se non mi esprimo, muoio

[Pipppos]

Quote:

Originariamente inviato da RaouL_BennetH

Ciao

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

Trattasi di help-online