Una vulnerabilità sul sito delle Poste

Un bug hunter italiano ha individuato una debolezza nel sistema di logging ai siti delle Poste Italiane che avrebbe potuto dar vita a fenomeni di phishing. Poste ha già risolto


Roma – C’è una problematica di sicurezza che riguarda il sito di Poste.it e i domini correlati, come bancopostaonline.poste.it, una vulnerabilità che potrebbe consentire un attacco di XSS (Cross Site Scripting) pensato per dirottare gli utenti verso domini di terze parti, con tutti i rischi del caso.

A scoprire la debolezza è stato l’hacker italiano Matteo G.P. Flora , già direttore IT di ALVillage srl, titolare di LKProject e responsabile della Provincia di Milano di AIP (Associazione Informatici Professionisti) nonché da tempo consulente della Procura della Repubblica e della Guardia di Finanza di Milano, oltre che di prestigiose aziende italiane. Alcune informazioni nell’advisory sono per ora riservate in accordo con Poste Italiane, sebbene già in queste ore, come hanno spiegato a Punto Informatico i tecnici di Poste, l’installazione di una apposita fix risolverà interamente la questione.

Secondo l’ advisory rilasciato da Flora “la procedura unificata di accesso che gestisce in modo unificato l’intero palco servizi Web di Poste Italiane (Bancopostaonline.poste.it, www.poste.it, registrazioneimprese.poste.it, registrazione-pa.poste.it) è stata scoperta positiva alla rilevazione di una problematica di sicurezza che consente ad un utente malintenzionato di dirottare l’utente del servizio in modo arbitrario, sottraendolo al controllo del sito web certificante la navigazione e trasportandolo ad un sito arbitrario”.

Va detto che si tratta di una questione che non determina in alcun modo l’esposizione diretta di informazioni dei fruitori dei servizi di Poste Italiane, sebbene possa consentire, o forse sarebbe meglio dire avrebbe potuto consentire, di portare attacchi di phishing. “Il reindirizzamento, effettuate le procedure di autentificazione, – si legge nell’advisory – potrebbe ad esempio trasferire l’ignaro utente che riceve una mail contraffatta ad un sito web creato per sottrarre informazioni relative a codici di accesso, password e/o informazioni riservate”.

Come detto, comunque, già in queste ore il problema è in via di risoluzione e nel corso della mattinata dovrebbe essere definitivamente risolto.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    symbian il peggior OS del secolo
    Dopo l'entusiasmo iniziale appena ho cominciato a capire come è fatto symbian ho cominciato ad odiarlo, delusione + totale.Si tratta di un SO arrangiato, instabile poco performante ... ora a 2 anni dall'acquisto mi chiedo per quale ragione hanno iniziato il suo sviluppo.... 1 ragione ... quale ?Perchè sviluppare un'accrocchio del genere ? Usate gnu/Linux e via !!! Motorola sembra averlo capito ...
    • Anonimo scrive:
      Re: symbian il peggior OS del secolo
      eheh io non ho nessun telefonino e me ne frego!!!!!!!!!!!!!!!!!!!!!(c64)
    • higgybaby scrive:
      Re: symbian il peggior OS del secolo

      Usate gnu/Linux e via !!! Motorola sembra averlo
      capito ...in che senso?l'A1000 che è il palmare/cellulare/smartphone/touchscreen/agps/UMTS monta un sistema operativo SymbianUIQciaoigor
      • Anonimo scrive:
        Re: symbian il peggior OS del secolo
        Per la verità motorola al momento produce:- telefoni "non aperti" (insomma chiusi con un s.o. proprietario, generalmente NON classificati come smartphone)- telefoni con symbian (vedi A1000)- telefoni con MS Smatphone 2003 (MXP-200 se non erro)- telefoni con Linux (A760)- ha annunciato che farà un cellulare anche con Apple (!)In pratica può che aver capito qualcosa del mercato, mi pare che nell'incertezza vada alla ceca (per il ciclo "chi cojo, cojo!").
    • Anonimo scrive:
      Re: symbian il peggior OS del secolo
      - Scritto da: Anonimo
      Dopo l'entusiasmo iniziale appena ho cominciato a
      capire come è fatto symbian ho cominciato ad
      odiarlo, delusione + totale.mamma mia, anche io sto iniziando a ricredermidopo un anno e mezzo senza problemi, inizia a rompereha tanti, ma TANTI buchi e grossi
Chiudi i commenti