Poste Italiane corregge le falle
Qualche giorno fa ho pubblicato un articolo in cui facevo vedere come Poste Italiane presentava problemi di sicurezza nel proprio sito web. Ho inoltre evidenziato la possibilità di mettere in atto truffe on-line usando il sito originale (!) di Poste Italiane.
Nonostante vari tentativi, non ero riuscito a raggiungere alcun contatto tecnico in Poste Italiane a cui segnalare tali problematiche, limitandomi ad una segnalazione (cestinata?) al servizio clienti.
Luca, mio carissimo amico, che ringrazio, è riuscito però a mettermi in contatto con Postecom, la direzione di Poste Italiane che si occupa della realizzazione dei servizi on-line. Postecom ha corretto le falle, chiamandomi e facendomi i più sentiti complimenti per l’età.
Tuttavia, se nell’articolo precedente ho trattato - per motivi di sicurezza - esclusivamente le possibili conseguenze delle falle, può risultare utile capire dove si trovavano e come potevano essere applicate per realizzare una truffa on-line.
Ho realizzato questo filmato (richiede Divx) in cui faccio vedere come mettere in atto una truffa a tutti gli effetti.
SCARICA IL FILMATO IN CUI DIMOSTRO COME REALIZZARE UNA POSSIBILE TRUFFA
Tecnicamente parlando
Poste Italiane usa il seguente sistema di redirect, quando un cliente identificato al sistema vuole uscire dal proprio conto Banco Posta, portando l’utente nell’indirizzo indicato in goto.
https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
http://www.sito-internet.it
Non viene tuttavia effettuato alcun controllo sulla destinazione, che potrebbe essere costituita anche da un sito truffaldino, legittimato dalla prima parte dell’indirizzo, che riporta il sito originale. Da notare è anche la connessione cifrata (https).
L’indirizzo del sito truffaldino può essere anche proposto in un formato di difficile compresione, come in ASCII esadecimale preceduto dal segno di percentuale.
https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
%68%74%74%70%3A%2F%2F%77%77%77%2E%73%69
%74%6F%2D%69%6E%74%65%72%6E%65%74%2E%69%74
Questo sistema di redirect potrebbe essere usato per reindirizzare un utente su un sito esterno e truffaldino, ma i filtri anti-phishing bloccherebbero il sito truffaldino. Ho trovato invece un’altra falla, in un altro sito di Poste Italiane.
Il problema risiede nel sottodominio escrivimi.poste.it, dove è presente la pagina NavCategory.jsp. Nella pagina NavCategory.jsp, la variabile cat (NavCategory.jsp?cat=) non è filtrata permettendo l’inserimento di codice Javascript.
Inserendo opportuno codice Javascript è possibile modificare la pagina originale di Poste Italiane, creando un modulo uguale a quello di accesso al proprio conto Banco Posta, i cui dati però andrebbero a finire nelle mani dei truffatori.
Un indirizzo esemplificativo della falla è il seguente. Se si osserva il codice HTML della pagina, il testo della variabile cat viene inserito nell’indirizzo (src) dell’immagine. Per attuare il codice Javascript, viene inserito l’indirizzo di una immagine inesistente, che darà seguito all’evento onError.
http://escrivimi.poste.it/NavCategory.jsp?cat=tests%22%20onErro
r%3D”alert(’BUG’);//
Grazie mille, stavo per iscrivermi..credo che ne farò ancora a meno…
sono stato truffato.
ignoti hanno emesso vaglia on-line verso altri ignoti e mi sono stati sottratti 2500 euro dal conto
poste italiane non vuol sapere di redermi i soldi
sono per vie legali..
Una mia amica è stata truffata …ma lei afferma che non ha mai inserito i dati online, come è possibile?
Complimenti vivissimi !!!
finalmente si sono decisi.
Ciao Salvatore,
sono stata truffata il 20 dicembre 2007;un ignoto si è ricaricato la sua postepay sul mio conto.Nel mio caso escludo il phishing.
La cosa che ritengo più strana ed illegittima è l’oscuramento da parte di poste italiane del numero della carta postepay.
Cosa ne pensi e cosa mi consigli di fare?
Grazie, puoi rispondermi anche in privato.
PRATICAMENTE CON UN CLIC RISCHI DI TROVARTI IL CONTO BANCO POSTA RIPULITO???NON CI POSSO CREDERE CHE UN ENTE PUBBLICO COME POSTE ITALIANE SORVOLI SU UN PROBLEMA COSI GRAVE ESSENDONE STATI PORTATI A CONOSCENZA…DAVVERO UNA LEGGEREZZA IMPERDONABILE.COMPLIMENTI VIVISSIMI A CHI A PORTATO A CONOSCENZA DI QUESTO FATTO DAVVERO GRAVE.CONTINUA A INDAGARE SALVATORE IL TUO FARE SERVE A MIGLIORARE UN SISTEMA CHE VOLGE A TRUFFARE I POVERI CITTADINI INGENUI.ANCORA COMPLIMENTI.