Tecnocasa copre una falla

Dopo la segnalazione di PI la pagina che faceva accedere alla Intranet è stata chiusa. Si temeva la possibilità di un defacement ai danni dell'azienda
Dopo la segnalazione di PI la pagina che faceva accedere alla Intranet è stata chiusa. Si temeva la possibilità di un defacement ai danni dell'azienda


Roma – Poter accedere al sistema di gestione dei contenuti di un portale è da lungo tempo uno degli obiettivi di molti smanettamenti di lamer, cracker e defacer di siti commerciali. Ed è quanto si è temuto potesse accadere con il portale di Tecnocasa.it .

L’allarme lo aveva lanciato a PI l’ormai celebre bug hunter Gabriele Zanoni , studente del Politecnico di Milano, che aveva giocato con le URL del portale della celebre catena dei servizi immobiliari.

In questo modo era stato possibile identificare una pagina dalla quale, effettuato un login, si poteva accedere al sistema di pubblicazione dei contenuti del sito in modalità “edit”. La password di accesso era di facile reperimento in quanto uguale ai codici delle diverse agenzie listate dal portale: inserendo quel codice in luogo della password era dunque possibile accedere all’edit delle pagine dedicate delle specifiche agenzie.

PI ha naturalmente contattato subito Tecnocasa per segnalare la cosa che, in un tempo record di poche ore, è stata sistemata. In una lettera pervenuta in redazione, l’azienda ha spiegato che “un nostro collaboratore per errore ha inserito la pagina segnalata (destinata ad uso interno e quindi presente solo nella intranet aziendale) nell’applicazione internet aperta al pubblico”.

Link copiato negli appunti

Ti potrebbe interessare

22 11 2004
Link copiato negli appunti