On 13.10.09, 18:24, Lorenzi Alessandro wrote:
> > "È solo un 'defacement' che riguarda il sito informativo di Poste.it.
> > Non sono stati violati i server con i dati personali degli utenti, che
> > quindi non sono mai stati in pericolo"
> > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Sinceramente non lo vedo poi cosí improbabile. Mettere in sicurezza un
> asset ha un costo e i livelli di sicurezza sono diversi. Probabilmente
> il server con i dati dei clienti é diverso dal server web, con un
> livello di sicurezza ben piú alto. (per lo meno... lo spero)
se non fosse che hanno defacciato l'interfaccia che gli utenti hanno
a disposizione per fare login, bancoposta, gestire il propio conto...
(cito dal sito stesso, pulsante di login: "accesso ai servizi per
privati e business")
Non riesco a vedere i limiti che dovrebbero farmi pensare che i dati
degli utenti non sono mai stati in pericolo: probabilmente non lo sono
stati quel giorno con quel defacement il cui scopo era piuttosto chiaro,
ma se le intenzioni degli hackers di turno fossero state diametralmente
opposte? Parliamo dell'ABC su come si possono sfruttare vulnerabilita'
per fare danni o, come nel caso specifico, rubare dati/euri/altro...
L'unica giustificazione (piu' o meno condivisibile) per una frase del
genere e' solo di tipo "mettiamoci una pezza lato comunicazione alle
masse"... che in italia, come i "fatti ci cosano", pare funzionare
benissimo a tutti i livelli da un po di anni a questa parte.
my 0.002 cent,
--
Gian
member of A.G.O.W. #C10771
and orgoglione to be!
:(){ :|:&};:
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
