PayPal massacra il suo bug

Una società esterna non aveva blindato a dovere un form online di PayPal. Non si sa quanti sono gli indirizzi email degli utenti che sono stati catturati. Nessun rischio, dice l'azienda


Roma – Il danno dovrebbe essere minimo e, com’è comprensibile, da parte sua PayPal minimizza. Fatto è che per qualche tempo un form online dedicato agli utenti PayPal e realizzato da Benchmark Portal ha consentito ad ignoti cracker di catturare un certo numero di indirizzi email di intestatari PayPal.

PayPal, il celebre servizio per le transazioni online basate proprio sulle email e gestito da eBay con cui è perfettamente integrato, ha spiegato che in nessun modo è stata compromessa la sicurezza degli account e degli utenti. “Anche solo il nome e il cognome sono sui nostri server (sicuri, ndr.) – ha spiegato una portavoce – e tutte le informazioni finanziarie risiedono sui nostri server, e a nessuna di quelle informazioni c’è mai stato un accesso (non autorizzato, ndr.)”.

In pratica, a causa di una errata configurazione era possibile catturare l’email dell’utente che compilava il form se si azzeccava il numero ID assegnato da BenchmarkPortal.

La conseguenza del crack sarebbe dunque limitata al fatto che, con ogni probabilità, le email catturate saranno utilizzate dai cracker per cercare di ottenere altre informazioni personali, per esempio attraverso l’invio di email di phishing spacciate come email provenienti da PayPal. Anche per questo l’azienda ha già contattato ciascuno di coloro la cui email potrebbe essere stata compromessa in questo modo ed ha offerto ogni assistenza che possa risultare utile.

“Al momento – ha affermato PayPal – stiamo provvedendo affinché questo genere di eventi non possano ripetersi in futuro”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • staicalmo scrive:
    apertura socket
    ho usato spesso i webservices. non credo che sia l'acqua calda come dice qualcuno. usare un gateway standard per invocare funzioni remote usando un protocollo standard mi permette ad esempio di scrivere una volta sola il webservice su un server e poi di interrogarlo con html, flash o addirittura middleware cioè lato server.la cosa che mi ha stranito ultimamente è che non ho potuto usare webservices già belli funzionanti su hostings gratuiti, per il semplice motivo che settano il SAFE_MODE attivo. il che significa che il codice lato server non può interrogare il webservices, nello stesso server, perchè non è permesso aprire un socket, avendo proprio questa restrizione del safe_mode.sto parlando di PHP con libreria standard Soap, senza estensioni aggiuntive.questo del safe-mode l'ho scoperto da poco e sono molti gli hosting che hanno queste (giustissime, a livello di sicurezza) restrizioni. come altervista.org ad esempio.non credo neanche che la soluzione sia lasciare il webservice sull'host in safe_mode attivo e interrogandoli da un altro php su un altro host. perchè ci sarebbe sempre il fatto dell'impossibilità di aprire il socket, bloccata dal safe_mode.se qualcuno ha un'idea in proposito ben venga. il sito che ho fatto con i ws è autogestito, quindi senza budget e ha per sua conformazione due tipi di client che vi accedono, appunto in html e flash. non mi si venga a dire che lo potevo scrivere in forma standard. se ci sono le nuove belle tecniche perchè non usarle, visto che il w3 continua a ottimizzarle e svilupparne di nuove?
  • Avion scrive:
    Re: web service
    - Scritto da: Anonimo

    aspetta aspetta... il message queuing io

    l'ho usato per un paio di progetti j2ee,

    perché dici che manca?

    nel senso che non funziona tra
    architetture

    (linguaggi) diverse?

    Nel senso che verrà probabilmente
    incapsulato nei webservice in futuro. In
    modo da non avere problemi tra varie
    architettura, ma avere uno standard W3C
    anche per queste cose. Quindi posso
    utilizzare un sistema di message queuing tra
    .NET e J2EE, per esempio. Capisci?
    Che è appunto quello che avevo capito :D
    Comunque hai usato message queing sopra web
    service? Com'è andata?Funziona. :)Abbiamo usato dei j2ee container eh, mica abbiamo scritto tutto da zero :DCi limitavamo a fare classi per l'accodamento dei messaggi e per il loro prelievo dalle code, con chiamata del servizio richiesto. Pochissime righe di codice, niente di trascendentale. Il lavoro vero lo faceva il container, noi ci si limitava a configurare le code!
  • AnyFile scrive:
    Re: web service
    Tempo addietro avevo letto che si voleva modificare l'uso di internet portanto piu' lavoro sul client, fornendogli informazioni non gia' formattatete nel senso grafico, ma nel senso del significato, in modo di permettere al client di elaborarle.L'articolo che lessi faceva il seguente esempio. Se chiedo un elenco dei libri presenti in una biblioteca e mi viene ordinato per autore e io lo voglio ordinato per titolo devo richiedere un'altra pagina ed e' il servere a dovere ordinare la lista e ad inviarmi la lista ordinata.Secondo questo progetto (di cui non mi ricordo il nome) sarebbe stato il client a poter fare l'ordinazionamento e poi a decidere come mostrarlo.Queste novita' hanno a che fare con questo?
  • Anonimo scrive:
    ebbastaaa!
    che scatole! sempre a reinventare l'acqua calda!Con sti RPC hanno rotto tutte le volte una "nuovo" (cioe' cambiano nome inventano un altro tipo di "fraseggio" per il protocollo) e ti ripropongono la solita roba Sun RPC (il vecchio e noto gia' dai tempi di nfs) eppoi dcom eppoi corba eppoi soap eppoi le varianti .NET...E tutte le volte Beeeelooo e' il futuro!... e giu' a magnificare!e invece sono 20 anni che e' la solita roba!Bastaaaaa!Il "developer medio" e' tragicamente incolto e non accetta di capire un meccanismo di per se piuttosto complesso come RPC...Chi lo capisce lo usa da tempo (in una qualunque delle sue forme piu' o meno standard) gli altri non lo useranno MAI!F.toMadama La Marchesa (presuntuosa aristocratica e con le p...le rotte!)
  • ldsandon scrive:
    Re: web service
    http://www.w3.org/TR/ws-arch/#id2260892Per web service si intende la possibilità di invocare dei "servizi" (applicazioni) remoti utilizzando HTTP come trasporto e SOAP per la codifica delle chiamate. Altri standard (WSDL, ecc.) offrono altri servizi, quali descrizione dell'interfaccia, autenticazione, ecc. ecc.Essenzialmente si tratta di un meccanismo di RPC (remote procedure call) che permette di chiamare delle procedure di un'applicazione remota utilizzando come trasporto i protocolli internet standard e codificando i parametri della chiamata in XML, garantendo così l'interoperabilità fra sistemi e architetture diversi.Ha poco o nulla a che fare con il web inteso come "pagine HTML" e browser per leggerle (anche se un browser può essere abilitato a "consumare" servizi, direttamente o via un gateway). Il web server in questo caso fa solo da "gateway" per gestire la comunicazione HTTP e girare le richieste alle applicazioni abilitate. I web services si occupano del trasporto e della manipolazione dei dati, non della loro visualizzazione.Un'applicazione nativa Windows può chiamare via web services un'applicazione Java opportuna che giri su un server Linux (o nativa o scritta in Python o PHP o qualsiasi linguaggio che supporti i web services) e viceversa.È qualcosa di molto simile a DCOM o CORBA ad esempio, ma si basa su standard già noti e open, gestiti dal W3C.
  • Anonimo scrive:
    Re: web service
    - Scritto da: awerellwv

    - Scritto da: Anonimo

    per favore potreste spiegarmi in breve
    in

    cosa consistono i web service, e come

    attuare l'accessibilita grazie luca

    Per l'accessibilita basta seguire
    strettamente i canoni del w3c e programmare
    i siti in modo che anche una persona
    disabile (un cieco ad esempio )possa
    usufruire dei contenuti.... facilmenteNon credo che intendesse questo... Anche perchè accessibilità in questo senso e web service non hanno poprio nulla a che vedere...
  • Anonimo scrive:
    Re: web service

    aspetta aspetta... il message queuing io
    l'ho usato per un paio di progetti j2ee,
    perché dici che manca?
    nel senso che non funziona tra architetture
    (linguaggi) diverse?Nel senso che verrà probabilmente incapsulato nei webservice in futuro. In modo da non avere problemi tra varie architettura, ma avere uno standard W3C anche per queste cose. Quindi posso utilizzare un sistema di message queuing tra .NET e J2EE, per esempio. Capisci?Comunque hai usato message queing sopra web service? Com'è andata?
  • Avion scrive:
    Re: web service
    - Scritto da: Anonimo
    Attalmente mancano ancora un po' di cosette
    per rendere veramente potenti i web service.
    Ci sono ancora piccoli problemi di
    incompatibilità tra i vari linguaggi
    (per esempio Java supporta il datetime a
    null, in C# - o .NET in generalt - datetime
    è un value type e quindi non
    può essere null). Poi mancherebbero
    cosette tipo transazioni, message queuing,
    ...aspetta aspetta... il message queuing io l'ho usato per un paio di progetti j2ee, perché dici che manca?nel senso che non funziona tra architetture (linguaggi) diverse?
  • awerellwv scrive:
    Re: web service
    - Scritto da: Anonimo
    per favore potreste spiegarmi in breve in
    cosa consistono i web service, e come
    attuare l'accessibilita grazie lucaPer l'accessibilita basta seguire strettamente i canoni del w3c e programmare i siti in modo che anche una persona disabile (un cieco ad esempio )possa usufruire dei contenuti.... facilmente
  • Anonimo scrive:
    Re: primo !!! :) ma per i palamari ...?
    - Scritto da: etrusko
    ma le immagini per i palmari che desinenza
    devono avere png? bmp? non ricordo ...
    prova a coniugare i web-service con la 3° e facci sapere.... io so di gente che sta facendo degli esperimenti in cirillico , ma il latino dovrebbe funzionare in quanto è stato uno standard in passato e sarà probabilmente adottato anche per le immagini nel web in un futuro prossimo.Barone dello Zwanlandshire(linux)
  • Anonimo scrive:
    Re: web service
    - Scritto da: Anonimo
    per favore potreste spiegarmi in breve in
    cosa consistono i web service, e come
    attuare l'accessibilita grazie lucaIn parole povere un web service non è nient'altro che una pagina web dinamica che però non ha un'interfaccia html ma torna delle strutture dati in formato xml. Quindi su protocollo HTTP puoi fare comunicare facilmente delle applicazioni.I web service non servono comunque sono per il B2B o simili attraverso internet ma sono anche un grande vantaggio all'interno dell'azienda siccome sono standard, permettono di integrare con relativamente poco sforzo sistemi eterogenei e introducono un'architettura orientata al servizio (cioè io chiamo il servizio "contabilizza" e poi lui si preoccupa di chiamare le varie classi che devono fare l'operazione; se poi cambia la logica o l'architettura basta modificare il webservice lasciando, nel limite del possibile, l'interfaccia invariata).Attalmente mancano ancora un po' di cosette per rendere veramente potenti i web service. Ci sono ancora piccoli problemi di incompatibilità tra i vari linguaggi (per esempio Java supporta il datetime a null, in C# - o .NET in generalt - datetime è un value type e quindi non può essere null). Poi mancherebbero cosette tipo transazioni, message queuing, ...
  • Anonimo scrive:
    web service
    per favore potreste spiegarmi in breve in cosa consistono i web service, e come attuare l'accessibilita grazie luca
  • Anonimo scrive:
    Re: primo !!! :) ma per i palamari ...?

    chi sa darmi una risposta?Sei stato il primo, bravo, e hai anche sbagliato forum...Andrea
  • Anonimo scrive:
    Re: primo !!! :) ma per i palamari ...?

    ma è meglio un sito ottimizzato w3c o
    un sito ad alta accessibilità bobby
    tripla a?
    non è che voglia dire molto la tua frase...ottimizato w3 cosa intendi?ottimizzare il codice è bene e riguarda l'usabilità...poi c'è l'accessibilità (quella misurata dal bobby)...il bobby altro non è che un "misuratore" delle linee guida wag del web consortium... quindi se segui tutte i "consigli" del w3c stai tranquilops potevi evitarti il "primo" perchè qui troverai pochi post...non siamo urbani o win vs linux :|
  • etrusko scrive:
    primo !!! :) ma per i palamari ...?
    ma le immagini per i palmari che desinenza devono avere png? bmp? non ricordo ... qualcuno lo sa?ma è meglio un sito ottimizzato w3c o un sito ad alta accessibilità bobby tripla a?chi sa darmi una risposta?
Chiudi i commenti