Falle chiuse su Poste.it e Comune di Milano

Falle chiuse su Poste.it e Comune di Milano

Le Poste, che avevano sospeso il servizio fallato per qualche ora, confermano a PI che tutto è ora ripristinato. Anche il Comune di Milano chiude un buco segnalato dai lettori del quotidiano informatico
Le Poste, che avevano sospeso il servizio fallato per qualche ora, confermano a PI che tutto è ora ripristinato. Anche il Comune di Milano chiude un buco segnalato dai lettori del quotidiano informatico


Roma – Le Poste Italiane hanno confermato a Punto Informatico di aver definitivamente risolto il problema che il quotidiano informatico aveva rilevato nei giorni scorsi grazie alla segnalazione di alcuni lettori.

La falla rilevata riguardava il servizio di invio via Internet delle raccomandate, certamente uno dei servizi più utilizzati sul portale Poste.it . Per alcuni giorni, probabilmente subito dopo un aggiornamento dei sistemi, in fase di preparazione dell’invio di una raccomandata si poteva aprire la raccomandata di un altro utente.

Questo avveniva quando, aprendo la funzione di “anteprima” della raccomandata in spedizione, un’anteprima realizzata in Pdf, il testo contenuto non era il proprio ma, appunto, quello di qualcun altro. Va detto che il testo era sempre lo stesso per ogni account: solo accedendo al sito con account diversi era possibile visualizzare il testo di raccomandate diverse.

Inoltre in queste stesse ore è giunta la conferma a PI da parte del Comune di Milano dell’avvenuta chiusura a tempo di record di una falla segnalata soltanto poche ore prima dal quotidiano informatico, dopo averne ricevuto notizia da Gabriele Zanoni , studente di telecomunicazioni del Politecnico di Milano.

La falla consentiva di accedere, attraverso una URL ben nota agli amministratori dei sistemi Domino, ad una serie di sistemi di configurazione dei server di messaggistica esterni del Comune. Sebbene dall’esterno quasi nessuna operazione fosse possibile, erano molte le informazioni rilasciate che avrebbero potuto consentire a qualche malintenzionato di trovare una via di ingresso nei sistemi informativi legati ai servizi internet del sito. Era anche possibile visualizzare le caratteristiche di account di accesso con nome utente e password. Hashed password che, con i dovuti tool disponibili in rete, sarebbe probabilmente stato peraltro possibile craccare. Quella URL ora non è più accessibile senza una autorizzazione specifica.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 29 ott 2004
Link copiato negli appunti