Falle chiuse su Poste.it e Comune di Milano

Le Poste, che avevano sospeso il servizio fallato per qualche ora, confermano a PI che tutto è ora ripristinato. Anche il Comune di Milano chiude un buco segnalato dai lettori del quotidiano informatico


Roma – Le Poste Italiane hanno confermato a Punto Informatico di aver definitivamente risolto il problema che il quotidiano informatico aveva rilevato nei giorni scorsi grazie alla segnalazione di alcuni lettori.

La falla rilevata riguardava il servizio di invio via Internet delle raccomandate, certamente uno dei servizi più utilizzati sul portale Poste.it . Per alcuni giorni, probabilmente subito dopo un aggiornamento dei sistemi, in fase di preparazione dell’invio di una raccomandata si poteva aprire la raccomandata di un altro utente.

Questo avveniva quando, aprendo la funzione di “anteprima” della raccomandata in spedizione, un’anteprima realizzata in Pdf, il testo contenuto non era il proprio ma, appunto, quello di qualcun altro. Va detto che il testo era sempre lo stesso per ogni account: solo accedendo al sito con account diversi era possibile visualizzare il testo di raccomandate diverse.

Inoltre in queste stesse ore è giunta la conferma a PI da parte del Comune di Milano dell’avvenuta chiusura a tempo di record di una falla segnalata soltanto poche ore prima dal quotidiano informatico, dopo averne ricevuto notizia da Gabriele Zanoni , studente di telecomunicazioni del Politecnico di Milano.

La falla consentiva di accedere, attraverso una URL ben nota agli amministratori dei sistemi Domino, ad una serie di sistemi di configurazione dei server di messaggistica esterni del Comune. Sebbene dall’esterno quasi nessuna operazione fosse possibile, erano molte le informazioni rilasciate che avrebbero potuto consentire a qualche malintenzionato di trovare una via di ingresso nei sistemi informativi legati ai servizi internet del sito. Era anche possibile visualizzare le caratteristiche di account di accesso con nome utente e password. Hashed password che, con i dovuti tool disponibili in rete, sarebbe probabilmente stato peraltro possibile craccare. Quella URL ora non è più accessibile senza una autorizzazione specifica.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Posticipato il DPS??
    Vorrei sapere se è vero quanto ho letto su alcuni giornali che la redazione del DPS è stata posticipata al 30 giugno 2005???
  • Anonimo scrive:
    Bellissimo lavoro!
    Ottimo articolo davvero!I miei complimenti.Franco
  • Anonimo scrive:
    posta inviata.dbx può anche essere...
    un file rinominato per non essere visti....
  • Anonimo scrive:
    ph34r
    mai piu' senza
  • Anonimo scrive:
    Ottimo articolo
    complimenti!:)
  • Anonimo scrive:
    Complimenti
    Come sempre imMENSAmente grandi ;)Corrado
    • theRebus scrive:
      Re: Complimenti
      Bravi! Ma perchè voi due assieme mi fate pensare al Gatto e alla Volpe? ;-)
      • Anonimo scrive:
        Re: Complimenti
        Forse perchè Costabile è della Guardia di Finanza?...- Scritto da: theRebus
        Bravi! Ma perchè voi due assieme mi
        fate pensare al Gatto e alla Volpe? ;)
  • Bruco scrive:
    Una precisazione sul DPS
    Cito testualmente:Il T.U. ha introdotto l'utilizzo, per il trattamento dei dati personali, sensibili o giudiziari di terzi, del cosiddetto "Documento programmatico della sicurezza"E' oramai argomento dibattuto su forum e newgroup il fatto che il DPS non sarebbe obbligatorio (a prescindere da questioni di opportunità pratica) per il trattamento di [soli] dati personali. Tutto dipende se ci si rifa all'art.34 del DL 196/03 o all'art.19 dell'allegato B.Questo solo per dovere di cronaca.
    • Anonimo scrive:
      Re: Una precisazione sul DPS
      si però è pratica comune farlo redigere sempre in quanto "fa fede" in caso di contestazioni (visto l'onere inverso della prova previsto dal art. 2050 del codice civile applicato alla sicurezza"che detto in parole povere suona cosi: se io ti denuncio perchè TU ti sei lasciati rubare dei miei dati sei TU che devi provare che avevi messo in campo delle "misure adeguate")comunque si, per legge basta il mansionario
      • Anonimo scrive:
        Re: Una precisazione sul DPS
        bisogna anche vedere se si parla di trattamento con sistemi informatici o meno.
        • Anonimo scrive:
          Re: Una precisazione sul DPS
          - Scritto da: Anonimo
          bisogna anche vedere se si parla di
          trattamento con sistemi informatici o meno.non credo: la legge si applica anche per trattamenti cartacei, ovviamente le misure minime o adeguate sono diverse, essenzialmente armadi chiusi
          • Anonimo scrive:
            Re: Una precisazione sul DPS
            - Scritto da: ishitawa
            non credo: la legge si applica anche per
            trattamenti cartacei, ovviamente le misure
            minime o adeguate sono diverse,
            essenzialmente armadi chiusicredo si riferisse al dps di cui all'oggetto
  • Anonimo scrive:
    ricordi....
    Sono un po' assonnato, preferisco leggere l'articolo domani mattina con calma.Incredibile Matteo Flora..lastknight .... e' stato mio compagno di corsi all'universita'... davvero una persona incredibile.. particolare.. fuori dal comune... la sua vita e' stata un successone. Complimenti vivissimi.. non mi firmo.. tanto non ti ricorderesti di me :
    ho ancora il tuo biglietto da visita.. anche se ormai (ahime') e' illeggibile.....
    • Anonimo scrive:
      Re: ricordi....
      mandagli almeno una mail, altrimenti mi fai commuovere il ragazzo .. :-)))))))gerardo costabile
    • Anonimo scrive:
      Re: ricordi....
      - Scritto da: Anonimo
      Incredibile Matteo Flora..lastknight .... e'
      stato mio compagno di corsi
      all'universita'... davvero una persona
      incredibile.. particolare.. fuori dal
      comune... la sua vita e' stata un
      successone.Non so se lo sia stata o meno, ma fa piacere sentirsi dire parole del genre :)
      Complimenti vivissimi.. non mi
      firmo.. tanto non ti ricorderesti di me
      :
      Io non ne sarei così convinto! Perchè non mi mandi una mail? Mi farebbe piacere riscrivere a qualcuno che non sento da anni!
      ho ancora il tuo biglietto da visita..
      anche se ormai (ahime') e' illeggibile.....Ma dai?Allora devi essere sicuramente una meravigliosa fanciulla! :)Un caro saluto.Matteo G.P. Flora
  • Anonimo scrive:
    .eml
    anche questi, non citati nell'articolo, ce ne sono a iosa,....
    • Anonimo scrive:
      Re: .eml
      - Scritto da: Anonimo
      anche questi, non citati nell'articolo, ce
      ne sono a iosa,....Hai perfettamente ragione!E se per questo anche le mailbox "mbox", i preferiti, le chiavi PRIVATE di PGP!!!Un caro saluto.Matteo G.P. FLora
      • Anonimo scrive:
        Re: .eml
        - Scritto da: Anonimo
        - Scritto da: Anonimo

        anche questi, non citati nell'articolo,
        ce

        ne sono a iosa,....

        Hai perfettamente ragione!
        E se per questo anche le mailbox "mbox", i
        preferiti, le chiavi PRIVATE di PGP!!!

        Un caro saluto.

        Matteo G.P. FLoraCiao, è complimenti per l'articolo. :)
Chiudi i commenti