Poste.it lamerato

[Uno]

Mi rifiuto di scrivere hackerato....



Non so neanche che scrivere, per carità anche fort knox può essere espugnato, però immaginando gli stipendi di chi gestisce quel sito....

Sorrido anche a parte della spiegazione

Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti": è quanto emerge dall'analisi dell'azione di defacement messa in atto sabato sera intorno alle 20 da alcuni hacker che si firmano Mr Hipo e StutM.
Il defacement è un'azione dimostrativa abbastanza comune, che consiste nello sfregiare un sito. In questo caso l'home page di www.poste.it è stata sostituita dai pirati informatici con una pagina dove campeggiava la parola HACKED accompagnata da una nota in cui gli hacker spiegavano che si trattava di un'azione dimostrativa.

Un'azione abbastanza comune?
Mah...
Non fatico a credere che la parte backoffice con i dati degli utenti sarà certamente più sicura (lo spero) ma, ma non mi sembra lo stesso bene per la reputazione di un sito che maneggia denaro.

Io ho solo un postpay sempre mezza vuota, chi se ne...

[Rebel]

Abbastanza grave direi...

[NikyAT1]

Gli stipendi sono alti, direttamente proporzionali con "l'altezza" delle sponde che ti servono per diventare sistemista alle poste. O sei paraculato o nisba. La preparazione poco conta.

[FlameNetworks]

E' sicuramente un fatto grave, comunque non è una tragedia.
Non è la prima volta che defacciano il sito di un'istituto di credito nè sarà l'ultima.
Con questo ovviamente non voglio assolutamente dire che sia normale ma, come tutti (o quasi) sappiamo, c'è sempre uno 0day che ti mette a rischio.
L'importante è garantire adeguati standardi di sicurezza sui dati dei clienti ed evitare che, dal sito, ci si possa intrufolare sui sistemi di backend e fare danni sicuramente più importanti del cambio della index.

[andrea.paiola]

beh, la vedo dura comunque proteggere i dati sui db se lasci modificare i file in esecuzione sul server...

[FlameNetworks]

Vedo che conosci bene l'architettura IT delle Poste Italiane

[Uno]

beh, la vedo dura comunque proteggere i dati sui db se lasci modificare i file in esecuzione sul server...

Beh mi auguro che siano su server diversi.................
....................
.,......................
...................
o saranno sullo stesso server, uno unico in tutta Italia, visto che ogni tanto mi ci vogliono 10 minuti per aprire il sito?


A proposito, ma lo sapete che la sera dopo una certa ora (23:30 se non ricordo male) non si possono fare operazioni? (le cose all'italiana, web e poi a orario, se vai negli usa per fare una operazione devi svegliarti di notte )

Ecco spiegata la faccenda, non c'è nessun server, c'è un omino con il suo terminale a cui arrivano le richieste dei clienti, questo scartabella lo schedario cartaceo e fa le operazioni
Niente da dire, il sistema è sicuro, purchè l'omino non si ubriaca o non si riesce a distrarlo, magari mandandogli una foto porno insieme al codice di accesso

[Ste]

Beh mi auguro che siano su server diversi.................
....................
.,......................
...................
o saranno sullo stesso server, uno unico in tutta Italia, visto che ogni tanto mi ci vogliono 10 minuti per aprire il sito?


A proposito, ma lo sapete che la sera dopo una certa ora (23:30 se non ricordo male) non si possono fare operazioni? (le cose all'italiana, web e poi a orario, se vai negli usa per fare una operazione devi svegliarti di notte )

Ecco spiegata la faccenda, non c'è nessun server, c'è un omino con il suo terminale a cui arrivano le richieste dei clienti, questo scartabella lo schedario cartaceo e fa le operazioni
Niente da dire, il sistema è sicuro, purchè l'omino non si ubriaca o non si riesce a distrarlo, magari mandandogli una foto porno insieme al codice di accesso

non conosco la loro infrastruttura, ma non mi stupirei fosse realmente così Mi auguro che i dati vengano gestiti meglio, non è in ogni caso un buon biglietto da visita quanto successo

[revhosting]

A proposito, ma lo sapete che la sera dopo una certa ora (23:30 se non ricordo male) non si possono fare operazioni? (le cose all'italiana, web e poi a orario, se vai negli usa per fare una operazione devi svegliarti di notte )

E nemmeno il sabato e la domenica non solo per carte di credito ma anche per chi ha il conto. Non puoi fare operazioni e non puoi nemmeno fare il login per controllare se c'è stato un bonifico. Tornando IT quanto vorrei sapere come hanno fatto :P

[Uno]

E nemmeno il sabato e la domenica non solo per carte di credito ma anche per chi ha il conto. Non puoi fare operazioni e non puoi nemmeno fare il login per controllare se c'è stato un bonifico.

Ah ecco, io ho solo una postpay non è che ci vado ogni secondo, non mi ero accorto.

Tornando IT quanto vorrei sapere come hanno fatto :P

Semplice, sul pannello dell'admin hanno inserito come user e come password: admin

(ci scherzo, ma non mi stupirei di qualcosa del genere che un ragazzino prova e riprova sia riuscito a fare)

[DonChisciotte]

sicuramente non e' una cosa bella, ed io ho il conto corrente alle poste da un bel po' di anni... non sapremo mai realmente cosa son riusciti a bucare anche perche' se avessero detto qualcosa di piu' serio sai quanti (probabilmente anche me) avrebbero chiuso i loro conti alle poste italiane per aprirlo altrove (o, visto il momento, metterli sotto la mattonella come faceva toto')?
sicuramente non sara' una cosa gravissima, ma che serva da lezione a chi deve gestire queste cose...

my 2 cents

[andrea.paiola]

Beh mi auguro che siano su server diversi.

non c'entra se sono sullo stesso server, se non hanno SUBITO bloccato gli accessi ai db... cioè anche se i db sono in rete locale poco cambia quando uno può eseguire il codice su un server da cui può accedere ai db...

per dire, oggi ho messo su un Drupal che aveva mysql su un altro server ^^

[Uno]

non c'entra se sono sullo stesso server, se non hanno SUBITO bloccato gli accessi ai db... cioè anche se i db sono in rete locale poco cambia quando uno può eseguire il codice su un server da cui può accedere ai db...

per dire, oggi ho messo su un Drupal che aveva mysql su un altro server ^^

Dai che hai capito benissimo quello che intendevo.
Se è un sistema fatto non dico bene ma almeno decentemente, su un server hanno solo il sito ed i layer di accesso al backoffice vero e proprio che è su altri server completamente separati.
In pratica entrano nel file system dove c'è il sito (cosa che comunque non è bene per nulla) ma dell'altro sistema più che i form di accesso non trovano.
Se è un sistema decente dalla rete internet dovrebbero poter accedere solo gli utenti comuni senza nessun tipo di privilegio che il poter accedere al proprio conto.
Gli admin e tutti gli account operativi (per esempio gli impiegati degli uffici postali) non dovrebbero passare per internet, non normalmente almeno, ma tramite altri canali.

[andrea.paiola]

Dai che hai capito benissimo quello che intendevo.
Se è un sistema fatto non dico bene ma almeno decentemente, su un server hanno solo il sito ed i layer di accesso al backoffice vero e proprio che è su altri server completamente separati.
In pratica entrano nel file system dove c'è il sito (cosa che comunque non è bene per nulla) ma dell'altro sistema più che i form di accesso non trovano.
Se è un sistema decente dalla rete internet dovrebbero poter accedere solo gli utenti comuni senza nessun tipo di privilegio che il poter accedere al proprio conto.
Gli admin e tutti gli account operativi (per esempio gli impiegati degli uffici postali) non dovrebbero passare per internet, non normalmente almeno, ma tramite altri canali.

i dati presenti nei db, visto che comunque in qualche modo il lato server deve accederci ( anche attraverso varie astrazioni ), sono comunque esposti... poi ti può andare di culo che i *tizi* non conoscono abbastanza quel linguaggio di programmazione o i layer di astrazione...

scoperta la procedura di deploy ( e questo presumo l'abbiano fatto, visto il defacement ) i db a cui il sito web può accedere sono esposti ( visto che è stato defacciato, presumo almeno i db per fare login )... poi non so che altro c'è in home page

[Uno]

i dati presenti nei db, visto che comunque in qualche modo il lato server deve accederci ( anche attraverso varie astrazioni ), sono comunque esposti... poi ti può andare di culo che i *tizi* non conoscono abbastanza quel linguaggio di programmazione o i layer di astrazione...

scoperta la procedura di deploy ( e questo presumo l'abbiano fatto, visto il defacement ) i db a cui il sito web può accedere sono esposti ( visto che è stato defacciato, presumo almeno i db per fare login )... poi non so che altro c'è in home page

Eh no, allora non avevi capito quello che intendevo

Ti faccio l'esempio più stupido che riesco, ma la cosa è un pelo più complessa:

Metti che piazziamo sul sito vattelapesca.com (con server in Indonesia) un form la cui voce action è: Hosting Talk Forum - Powered by vBulletin e c'è tutto il resto per inserire nickname e password.
Uno da vattelapesca.com può loggarsi su HT che è su un server qui in Italia.
Se bucano il server del sito vattelapesca.com secondo te hanno accesso a tutti i dati su HT?
Al massimo hanno accesso al nome delle variabili usate sul form, ma senza le password non hanno accesso neanche ai login degli utenti qui.

Questo, ripeto è l'esempio più semplice, e spero comprensibile, che mi viene, ma la cosa è un pò più complessa se invece che un forum ci sono in gioco i dati di un homebanking
Almeno così dovrebbe essere, se poi mi dici che le poste hanno noleggiato un unico kimisufi su ovh, o un vps su Aruba e c'è tutto dentro ... allora alzo le mani, ma mi auguro che le cose non siano così.