• Poste.it attaccato dai cracker: la Polizia sulle tracce degli autori

    poste_italiane.jpg

    Il sito delle Poste Italiane è stato vittima nel week-end di un vero e proprio attacco da parte di “cracker”. Inizialmente, verso le 19:00 di sabato, è stata visualizzata una scritta che recava il seguente messaggio: “Hacked. Stavolta siamo stati buoni ma possiamo fare molto di più”. Poi non è stato più possibile accedere allo spazio Web.

    Il portale ha subito il blocco di tutte le operazioni effettuabili in rete, anche quelle finanziarie. Gli hacker si sono firmati “Mr Hipo & Stutm“. Subito una squadra di ingegneri di Poste Italiane si è messa al lavoro per risalire agli autori dell’attacco.

    È intervenuta anche la Polizia Postale. Il pericolo in ogni caso sembra essere stato scongiurato. È stato infatti reso noto che non si sarebbero verificati problemi di sicurezza, visto che non è stato rubato denaro e nessun dato sensibile. Gli hacker hanno rilasciato anche un altro messaggio nel quale hanno fatto sapere le intenzioni del loro piano.

    L’attacco sarebbe infatti stato messo a punto per dimostrare agli utenti che i loro dati sensibili non sono al sicuro e che non tutte le garanzie assicurate dall’e-commerce sono valide. Un pericolo incombente per il sistema informatico gestito dalle Poste.

    Tuttavia queste ultime hanno insistito sul fatto che non si è trattato di un attacco grave e hanno ben presto individuato l’ultimo computer da cui esso è partito. È emerso che la Polizia Postale sarebbe anche sulle tracce di chi ha commesso il fatto.

    Tags:

    Se vuoi aggiornamenti su Poste.it attaccato dai cracker: la Polizia sulle tracce degli autori inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Lorenzo dice:

      Ma scusate, per la prima volta che si può parlare correttamente di hacker dite che sono cracker? fossero stati cracker avrebbero fregato i dati sensibili e fatto maggiori danni invece che limitarsi ad avvisare della vulnerabilità!
      Bisogna imparare a distinguere bene le 2 classi!

    2. emmebì dice:

      Insomma, hanno crackato quindi sono cracker :)

    3. Chi lo sa come andrà a finire… Se ne sentirà più parlare di questa storia? Fatto rimane che sono idoli ;)

    4. Maragret Moore dice:

      Ho ricevuto due avvisi richiedendo i miei dati per liberare una somma di oltre 500?. Ovviamente è fasullo. Il messaggio è arrivato via email come mesaggio automatico.Volevo segnalare questo fatto

    5. emmeci dice:

      Non sono d’accordo con il termine cracker, se la loro azione si è limitata ad un defacement sono hacker …

    6. Matteo Zaffo '80 dice:

      Emmebì, mi sa che Lorenzo ha ragione. Esistono anche hacker che seguono un’etica basata sull’aiuto altrui. Certo, anche questi penetrano in un sistema sfruttando alcune vulnerabilità, ma solo per mettere a posto un sistema.

    7. Piero dice:

      >> fossero stati cracker avrebbero fregato i dati sensibili e fatto maggiori danni invece che limitarsi ad avvisare della vulnerabilità!

      Sbagliatissimo.
      1) I dati sensibili sono ben lungi da un web server vittima di un ‘defacciamento’. Non è affatto vero che avrebbero potuto fare di più.
      2) ‘defacciare’ un sito che offre servizi commerciale NON è affatto etico, per ovvie questioni di marketing.
      3) L’etica avrebbe voluto che si avvisasse il security manager senza defacciare, come facciamo noi ‘buoni’ nei nostri penetration test.

    8. emmebì dice:

      > 1) I dati sensibili sono ben lungi da un web server vittima di un ?defacciamento’. Non è affatto vero che avrebbero potuto fare di più.

      Beh, dipende dal modo in cui questo deface è avvenuto.

    9. Piero dice:

      >> dipende dal modo in cui questo deface è avvenuto.

      Ma anche no.
      Perchè, quale che sia la vulnerabilità sfruttata e l’exploit utilizzato, i dati sensibili sono lontani da un web server ben posizionato in una DMZ.
      PosteItaliane, tra l’altro, usa tecnologie di firewalling di marca Checkpoint solo come semplici nodi d’interconnessione tra le decine e decine di sottoreti, aree logiche, fisiche e funzionali che deve gestire all’interno di tuttta la sua architettura sparsa per tutto il territorio nazionale.
      Se per bucare un IIS messo su internet con l’ultimo zero day ci vogliono 3 secondi, per raggiungere il backend di PosteItaliane ci vuole il Kevin Mitnick della Garbatella.
      E non mi chiedete come faccio a sapere queste cose.
      E’ ovvio che ci ho lavorato.

    10. +1 per Lorenzo, secondo me non sono cracker ma Haker.

    11. emmebì dice:

      @Piero: ma anche no.

      Se si arrivasse ad ottenere un accesso root (e quindi il deface fosse ottenuto grazie ad un exploit noto, come dici, seguito da una successiva e “fortunata” escalation), quale esempio, non ci vorrebbe un granchè a sovvertire il funzionamento dell’applicazione Web.
      L’applicazione Web ha, normalmente, i privilegi di accesso all’infrastruttura sottesa, ciò valendo anche per il database su cui insiste.
      Sovvertendo quindi l’applicazione, un cracker avrebbe accesso al database, innegabilmente.

      [OFFTOPIC-FLAME]PS: spero che nessuno, per la salvezza di tutti noi, si ostini ad utilizzare IIS.[/OFFTOPIC-FLAME]

    12. Piero dice:

      >> …seguito da una successiva e “fortunata” escalation…
      >> L’applicazione Web ha, normalmente, i privilegi di accesso…
      >> Sovvertendo quindi l’applicazione…

      Fatta così quasi quasi chiudo il conto postale. :-)

    13. emmebì dice:

      Sì, ma fatta così poi pagherebbe l’azienda di credito “hackerata XOR crackata” di turno… :)

    14. Eleonora dice:

      Lorenzo ha ragione. Ed è quello che ribadisco SEMPRE anche io. I tizi in questione sono hacker. Non hanno fatto nulla con l’intenzione di rubare i dati (nessuno ha infatti riscontrato perdite per colpa dell’attacco), ma solo per dimostrare la vunerabilità di sistema. Un cracker avrebbe potuto anche rilevare nel database la lista degli utenti con relativi dati. Non hanno craccato proprio niente. Hanno solo usato un avviso Javascript in seguito alla loro entrata nella home per avvisare appunto la fragilità di Poste.it. HACKER e CRACKER hanno obiettivi ben diversi. Mettetevelo in zucca xD

    15. andry dice:

      Basta dare un occhiata qui http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/ x capire che tramite l’sql injection era possibile sbirciare tra le migliaia di utenti e vedersi gli hash delle password. Alla faccia dei “i dati sensibili non sono stati toccati”.

    16. Domenico dice:

      L’attacco portato efficacemente a termine è il + elementare degli attacchi in rete.
      “Polizia Postale sarebbe anche sulle tracce di chi ha commesso il fatto” e secondo voi se c’era 1 possibilità d’intercettazione, avrebbero attaccato ??
      I propositi degli hacker SONO BUONI! Anch’io ho ricevuto piogge d’e-mail fishing per poste.it & unicredit specialmente!
      Chi ha attrezzato e pubblicizzato un sito come poste.it HA L’OBBLIGO di renderlo + sicuro possibile!
      Fossi in loro cercherei di contattare gli hacker e farmi consigliare su come rendere il sito + sicuro!
      …ma è inutile aspettarsi qualche mossa intelligente da un dinosauro come poste italiane!

    17. BEPPE dice:

      migliaia di utenti? guardando di sfuggita la le schermate proposte mi sembrano mooooolto fake. e anche se fosse reale dubito altamente quello fosse il database di contocorrentisti..mi sembrano errori grossolani di progettazione…io do perfettametne ragione a piero.

    18. Lu dice:

      Personalmente concordo pienamente su hacker e ne sono anche contento, per 1000 e 1 ragioni.. sia per chi è stato colpito (che spero farà in modo di fare più attenzione alla sicurezza) che per chi ha colpito, che da come ho letto ha un etica, i cracker li conosciamo bene..

    19. Lu dice:

      Purtroppo che, per la normativa vigente, sono punibili entrambi..

    Commenta

    Your email address will not be published. Required fields are marked *