Una vulnerabilità sul sito delle Poste

Un bug hunter italiano ha individuato una debolezza nel sistema di logging ai siti delle Poste Italiane che avrebbe potuto dar vita a fenomeni di phishing. Poste ha già risolto
Un bug hunter italiano ha individuato una debolezza nel sistema di logging ai siti delle Poste Italiane che avrebbe potuto dar vita a fenomeni di phishing. Poste ha già risolto


Roma – C’è una problematica di sicurezza che riguarda il sito di Poste.it e i domini correlati, come bancopostaonline.poste.it, una vulnerabilità che potrebbe consentire un attacco di XSS (Cross Site Scripting) pensato per dirottare gli utenti verso domini di terze parti, con tutti i rischi del caso.

A scoprire la debolezza è stato l’hacker italiano Matteo G.P. Flora , già direttore IT di ALVillage srl, titolare di LKProject e responsabile della Provincia di Milano di AIP (Associazione Informatici Professionisti) nonché da tempo consulente della Procura della Repubblica e della Guardia di Finanza di Milano, oltre che di prestigiose aziende italiane. Alcune informazioni nell’advisory sono per ora riservate in accordo con Poste Italiane, sebbene già in queste ore, come hanno spiegato a Punto Informatico i tecnici di Poste, l’installazione di una apposita fix risolverà interamente la questione.

Secondo l’ advisory rilasciato da Flora “la procedura unificata di accesso che gestisce in modo unificato l’intero palco servizi Web di Poste Italiane (Bancopostaonline.poste.it, www.poste.it, registrazioneimprese.poste.it, registrazione-pa.poste.it) è stata scoperta positiva alla rilevazione di una problematica di sicurezza che consente ad un utente malintenzionato di dirottare l’utente del servizio in modo arbitrario, sottraendolo al controllo del sito web certificante la navigazione e trasportandolo ad un sito arbitrario”.

Va detto che si tratta di una questione che non determina in alcun modo l’esposizione diretta di informazioni dei fruitori dei servizi di Poste Italiane, sebbene possa consentire, o forse sarebbe meglio dire avrebbe potuto consentire, di portare attacchi di phishing. “Il reindirizzamento, effettuate le procedure di autentificazione, – si legge nell’advisory – potrebbe ad esempio trasferire l’ignaro utente che riceve una mail contraffatta ad un sito web creato per sottrarre informazioni relative a codici di accesso, password e/o informazioni riservate”.

Come detto, comunque, già in queste ore il problema è in via di risoluzione e nel corso della mattinata dovrebbe essere definitivamente risolto.

Link copiato negli appunti

Ti potrebbe interessare

23 03 2005
Link copiato negli appunti