Poste Italiane Corregge Le Falle

17 gennaio 2006 di Salvatore Aranzulla, in Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica. 14 Commenti

Qualche giorno fa ho pubblicato un articolo in cui facevo vedere come Poste Italiane presentava problemi di sicurezza nel proprio sito web. Ho inoltre evidenziato la possibilità di mettere in atto truffe on-line usando il sito originale (!) di Poste Italiane.

Nonostante vari tentativi, non ero riuscito a raggiungere alcun contatto tecnico in Poste Italiane a cui segnalare tali problematiche, limitandomi ad una segnalazione (cestinata?) al servizio clienti.

Luca, mio carissimo amico, che ringrazio, è riuscito però a mettermi in contatto con Postecom, la direzione di Poste Italiane che si occupa della realizzazione dei servizi on-line. Postecom ha corretto le falle, chiamandomi e facendomi i più sentiti complimenti per l’età.

Tuttavia, se nell’articolo precedente ho trattato – per motivi di sicurezza – esclusivamente le possibili conseguenze delle falle, può risultare utile capire dove si trovavano e come potevano essere applicate per realizzare una truffa on-line.

Ho realizzato questo filmato (richiede Divx) in cui faccio vedere come mettere in atto una truffa a tutti gli effetti.

SCARICA IL FILMATO IN CUI DIMOSTRO COME REALIZZARE UNA POSSIBILE TRUFFA

Tecnicamente parlando

Poste Italiane usa il seguente sistema di redirect, quando un cliente identificato al sistema vuole uscire dal proprio conto Banco Posta, portando l’utente nell’indirizzo indicato in goto.

https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
http://www.sito-internet.it

Non viene tuttavia effettuato alcun controllo sulla destinazione, che potrebbe essere costituita anche da un sito truffaldino, legittimato dalla prima parte dell’indirizzo, che riporta il sito originale. Da notare è anche la connessione cifrata (https).

L’indirizzo del sito truffaldino può essere anche proposto in un formato di difficile compresione, come in ASCII esadecimale preceduto dal segno di percentuale.

https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
%68%74%74%70%3A%2F%2F%77%77%77%2E%73%69
%74%6F%2D%69%6E%74%65%72%6E%65%74%2E%69%74

Questo sistema di redirect potrebbe essere usato per reindirizzare un utente su un sito esterno e truffaldino, ma i filtri anti-phishing bloccherebbero il sito truffaldino. Ho trovato invece un’altra falla, in un altro sito di Poste Italiane.

Il problema risiede nel sottodominio escrivimi.poste.it, dove è presente la pagina NavCategory.jsp. Nella pagina NavCategory.jsp, la variabile cat (NavCategory.jsp?cat=) non è filtrata permettendo l’inserimento di codice Javascript.

La falla nel sito di Poste Italiane

Inserendo opportuno codice Javascript è possibile modificare la pagina originale di Poste Italiane, creando un modulo uguale a quello di accesso al proprio conto Banco Posta, i cui dati però andrebbero a finire nelle mani dei truffatori.

Un indirizzo esemplificativo della falla è il seguente. Se si osserva il codice HTML della pagina, il testo della variabile cat viene inserito nell’indirizzo (src) dell’immagine. Per attuare il codice Javascript, viene inserito l’indirizzo di una immagine inesistente, che darà seguito all’evento onError.

http://escrivimi.poste.it/NavCategory.jsp?cat=tests%22%20onErro
r%3D”alert(’BUG’);//

Il codice HTML


Questo articolo è stato scritto e pubblicato martedì 17 gennaio 2006 da Salvatore Aranzulla. L'articolo è stato inserito in Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica. Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Non puoi né inviare commenti, né inviare trackback.

Commenti dei lettori

  1. nicola 30 luglio 2009 alle 21:59

    solitamente è facile fare i complimenti ad una DONNA…ma stavolta…TOCCA A TE…grande PICCOLO UOMO…!!! (;-D L’umanità è ancora presente sulla Terra…grazie alle persone come TE, mi auguro che la tua “intelligenza” non si faccia sfruttare da politici e commercianti…BRAVO BRAVO BRAVO!!!!
    ASTA LA VISTA

  2. gino 26 luglio 2009 alle 19:03

    ho notizia di due clienti banco posta che mentre stavano operando col proprio computer sul cc online per un attimo si è spento lo schermo del computer e non notando nulla di strano hanno continuato ad operare sul conto . Si sono trovati con un addebito uno di 7.000 euro e uno con un addebito di 9.000 euro , al mattino sono corsi in posta, ma penso che ormai fosse troppo tardi.

  3. paolo 13 giugno 2009 alle 23:07

    ciao salvatore, vorrei un tuo commento sul nuovo lettore bancoposta,che sta sostituendo il vechio codice numerico.ma e veramente piu sicuro come dicono,o sono solo dicerie.complimenti. di poste italine si parla.

  4. simone 27 maggio 2009 alle 18:27

    la parola phishing vi dice nulla?
    ma vi sembra normale che le poste vi diano un omaggio di 250 euro o vi chiedano conferma dei vostri dati via email? Roba da matti.. ma dove vivete? Se non vi truffavano così abboccavate a qualcos’altro di sicuro…

  5. Giovanni 8 maggio 2009 alle 16:17

    Manuele mi sa tanto che hai ricevuto un email fasulla…. bisogna sempre fare attenzione a dove si inseriscono i dati personali. Con qualche accorgimento queste cose si evitano…

  6. DOMENICO 7 maggio 2009 alle 17:52

    ad ognuno il suo mestiere, poste italiane non ha la cultura per il servizio bancario, in due occassioni ho penato sia per aprire un normale conto corrente (incapacità totale dell’addetta) per fortuna poi si è decisa ha chiedere aiuto all’altro collega così dopo un paio di ore è stata sistemata la pratica, per fortuna uso solo postamat. in un’altra occassione per aprire un conto online ho dovuto rinunciare. n.b. sono andato in una sede diversa ma la musica è sempre la stessa.

  7. Manuele 30 settembre 2008 alle 23:46

    Ciao a tutti io sono stato truffato di mille euro!!!!!!
    Mandandomi una e-mail sul loro sito di regalarmi un bonus shop di 250 euro!!!!e ci sono cascato in pieno!!!!!!
    Appena posso chiudo il conto !!!!
    Ladriiiiiiiiii

  8. TEO 18 agosto 2008 alle 10:43

    PRATICAMENTE CON UN CLIC RISCHI DI TROVARTI IL CONTO BANCO POSTA RIPULITO???NON CI POSSO CREDERE CHE UN ENTE PUBBLICO COME POSTE ITALIANE SORVOLI SU UN PROBLEMA COSI GRAVE ESSENDONE STATI PORTATI A CONOSCENZA…DAVVERO UNA LEGGEREZZA IMPERDONABILE.COMPLIMENTI VIVISSIMI A CHI A PORTATO A CONOSCENZA DI QUESTO FATTO DAVVERO GRAVE.CONTINUA A INDAGARE SALVATORE IL TUO FARE SERVE A MIGLIORARE UN SISTEMA CHE VOLGE A TRUFFARE I POVERI CITTADINI INGENUI.ANCORA COMPLIMENTI.

  9. rosanna 29 gennaio 2008 alle 17:55

    Ciao Salvatore,
    sono stata truffata il 20 dicembre 2007;un ignoto si è ricaricato la sua postepay sul mio conto.Nel mio caso escludo il phishing.
    La cosa che ritengo più strana ed illegittima è l’oscuramento da parte di poste italiane del numero della carta postepay.
    Cosa ne pensi e cosa mi consigli di fare?
    Grazie, puoi rispondermi anche in privato.

  10. francesco 4 novembre 2007 alle 11:50

    finalmente si sono decisi.

  11. Filippo 17 aprile 2007 alle 17:52

    Complimenti vivissimi !!!

  12. Monica 5 marzo 2007 alle 14:50

    Una mia amica è stata truffata …ma lei afferma che non ha mai inserito i dati online, come è possibile?

  13. MAURIZIO 26 settembre 2006 alle 10:25

    sono stato truffato.
    ignoti hanno emesso vaglia on-line verso altri ignoti e mi sono stati sottratti 2500 euro dal conto

    poste italiane non vuol sapere di redermi i soldi

    sono per vie legali..

  14. Montalbana 25 maggio 2006 alle 14:14

    Grazie mille, stavo per iscrivermi..credo che ne farò ancora a meno…

Non è possibile più aggiungere commenti all'articolo.