Email.it corregge uno spiffero

Il noto portale italiano dell'e-mail ha comunicato a Punto Informatico di aver corretto uno spiffero che poteva renderlo vulnerabile ad attacchi di phishing. L'intero sito è ora sotto revisione da parte dello staff tecnico
Il noto portale italiano dell'e-mail ha comunicato a Punto Informatico di aver corretto uno spiffero che poteva renderlo vulnerabile ad attacchi di phishing. L'intero sito è ora sotto revisione da parte dello staff tecnico


Roma – Negli scorsi giorni è giunta in redazione la segnalazione di un problema di sicurezza nel sito Email.it , noto fornitore italiano di servizi di posta elettronica, che poteva andare a vantaggio degli esperti in truffe online e phishing. Ieri i gestori del sito hanno prontamente comunicato a Punto Informatico di aver risolto la vulnerabilità.

“La vulnerabilità consente attacchi di tipo phishing particolarmente ingannevoli”, aveva scritto D.F. a PI, fornendo anche il link ad una pagina web in cui si descrive il problema nei dettagli e si fornisce una dimostrazione di phishing (che da ieri sera, dopo la correzione del problema, non funziona più).

“Email.it è risultato affetto da una vulnerabilità di tipo Cross Site Scripting (XSS) che consiste nella possibilità di inoculazione nella pagina web visualizzata nel browser di codice Javacript attraverso la tecnica dell’HTML Injection”, si legge nell’advisory. “L’uso della tecnica di tipo Cross Site Scripting permette, grazie ad un URL creato ad arte, di portare a segno attacchi di tipo Phishing con alto livello di credibilità”.

L’esempio di attacco riportato da D.F. mostrava come fosse possibile modificare l’home page di Email.it in modo da indurre l’utente ad inserire il proprio nome utente e la propria password in form estranei al noto sito italiano: un truffatore avrebbe potuto utilizzare la stessa tecnica per raccogliere dati di accesso o altre informazioni sensibili.

“Questa mattina abbiamo ricevuto dal Sig. D.F. la segnalazione inerente la vulnerabilità riscontrata nel nostro motore di ricerca. A seguito di tale segnalazione, il nostro staff tecnico si è immediatamente riunito e poche ora fa il bug è stato corretto”, ha scritto ieri sera a PI Carmine Garone, chief security officer di Email.it. “Gestendo una comunità così vasta come quella di Email.it è, purtroppo, possibile che in fase di sviluppo vengano a mancare alcune nozioni di sicurezza. (…) Questa situazione dimostra ancora una volta come le aziende che forniscono servizi Internet per l’utenza debbano prestare la massima attenzione a quanto segnalato dagli utenti, che rappresentano una fonte inesauribile di conoscenza”.

“Mentre le scrivo queste righe – ha poi continuato Garone – il nostro staff tecnico è impegnato in una completa revisione del nostro sito affinché si possa verificarne l’effettiva e totale solidità”.

Link copiato negli appunti

Ti potrebbe interessare

12 09 2005
Link copiato negli appunti