Poste, un defacement preannunciato

I dati degli utenti erano davvero al sicuro? Pare che fosse possibile accedere al database degli utenti.



[ZEUS News - www.zeusnews.it - 15-10-2009]

il messaggio su poste.it

Il 10 ottobre scorso il sito delle Poste ha subito un defacement; ci dicono che i dati dei "clienti" sono o erano al sicuro, ma è proprio vero? Secondo un recente penetration test era possibile accedere al database utenti del sito e addirittura risalire ai nomi degli utenti di gestione del database stesso.

Ma facciamo un salto indietro. Lo scorso sabato il sito poste.it ha subìto un attacco da parte di sconosciuti hacker che, defacciando la home page del sito, hanno scritto una nota che citiamo testualmente.

"Per vostra fortuna noi siamo persone non malintenzionate" si leggeva "perché i vostri dati e i vostri account non sono stati toccati. Ma cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?".

Una nota sul sito delle Poste dichiara: "Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti". Inoltre "Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo". Quest'ultima affermazione è di Gerardo Costabile, responsabile della sicurezza logica di Poste Italiane.

Abbiamo cercato di capire il tipo di attacco effettuato e la reale vulnerabilità del portale delle Poste Italiane. Cercando qualche informazione, ci siamo imbattuti in un interessante test di penetrazione basato su una tecnica ormai nota da anni (peraltro evitabilissima), chiamata Sql injection.

La Sql injection è una tecnica di hacking che mira a colpire applicazioni web basate su database Sql sfruttando l'inefficienza di controlli sui dati ricevuti in input dall'applicazione.

Inserendo del codice maligno all'interno di una query Sql, permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare o alterare dati sensibili.

E se per caso il sito di poste.it fosse vulnerabile ad attacchi di tipo Sql injection? Se la pagina di login non fosse stata progettata effettuando i debiti controlli sui dati che vengono inseriti nei campi "Nome Utente" e password? Cosa accadrebbe? Semplice: un potenziale malintenzionato potrebbe avere accesso agli account di altri utenti, o addirittura agli account amministrativi del database.

La domanda che tutti voi a questo punto vi starete facendo è: "Il sito delle Poste è o era vulnerabile a questo tipo di attacchi?". La risposta, a quanto pare, è si.

Infatti in rete è disponibile un interessantissimo penetration test, datato 5 settembre (quindi un mese prima del defacement), che dimostra come il sito delle Poste Italiane sia affetto da questa vulnerabilità, peraltro evitabile effettuando un maggiore controllo sui dati nell'applicazione che consente agli utenti di autenticarsi.

Ma passiamo al test: dapprima dimostra come sia possibile stabilire il tipo di database utilizzato dal sito poste.it (ovvero Oracle 9i Enterprise 9.2.0.7.0 a 64bit).

In seconda istanza mostra il contenuto di una tabella con i dati di alcuni utenti:


Clicca per ingrandire

Da ultimo, il test mostra anche i nomi di alcuni utenti con privilegi di gestione del database.

[*] ANTO
[*] CLUSADMIN
[*] DBSNMP
[*] FOGLIGHT
[*] GW
[*] GW_07
[*] GW_09_DIP
[*] GW_09_DIR
[*] MONITOR
[*] OUTLN
[*] QUEST
[*] REPLUS
[*] RUB2
[*] ..AM...
[*] SYS
[*] SYSTEM
[*] WMSYS

In conclusione, come spesso accade in ambito di sicurezza informatica, il tempestivo intervento su falle di sicurezza note e su test peraltro pubblici, sembra sia la miglior cura per evitare problemi reali, che a volte si traducono in azioni dimostrative, altre in catastrofi preannunciate.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 15)

In realtà il problema e molto più complesso perchè estremamente complesso (o forse caotico) è il sistema di gestione delle poste italiane. Innanzitutto i sistemi di poste italiane hanno due tipi di database diversi. Uno che si basa su microsoft Windows ( tutte le versioni da NT a Vista) in accoppiata letale con SQL server ed uno con... Leggi tutto
18-10-2009 19:15

Troppa mafia sotto, non cambierà mai nulla neppure se avessero rubato e diffuso tutti gli account degli utenti. Leggi tutto
18-10-2009 01:50

Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera :roll:
17-10-2009 21:19

LOL bellissima!
16-10-2009 18:11

Si', e una separazione delle carriere tra chi scrive virus e chi software per la sicurezza. Leggi tutto
16-10-2009 17:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Il governo vorrebbe eliminare la tassa di proprietà travestita da canone, trasferendola sulla bolletta della luce. Sei d'accordo?
No
Non lo so

Mostra i risultati (3026 voti)
Settembre 2025
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
Google, stop all'obbligo di usare Gmail per gli account Android
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
Windows 11 24H2, dopo l'aggiornamento i dischi scompaiono. E i dati possono corrompersi
Microsoft fagocita GitHub: fine dell'indipendenza dopo sette anni. Futuro nella IA
Chiede a ChatGPT come sostituire il sale, finisce in ospedale con una malattia di cent'anni fa
Windows 2030, addio a mouse e tastiera: farà tutto la IA
La bolla finanziaria degli LLM
WhatsApp senza account: arrivano le Guest Chat per comunicare da "anonimi"
La pittura al grafene che sostituisce i caloriferi e consuma il 40% in meno
Tutti gli Arretrati
Accadde oggi - 3 settembre


web metrics