[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2001 ml@sikurezza.org Soggetto: Re: log e password di inWind sul web Mittente: Fabio Pietrosanti (naif) Data: 13 Jul 2001 16:28:50 -0000
Attenzione a non dare colpe a destra e a manca. La gestione della security e' un argomento estremamente complesso, e anche se magari wind ha un security manager o comunque un gruppo che periodicamente rivede le policy e derivati ( poi, come nel 90% dei casi, questa figura e' assente ), avra' sofferto della tipica situazione in cui si ha molta fretta di tirare su un servizio per questioni di marketing/commerciali, e non c'e' il tempo di curare gli aspetti di sicurezza. Capita spesso e capita a grandi e piccini. Che tanti big siano sbragati, e che sia possibile bucarli/ sfruttare loro servizi interni senza la necessita' di bypassare firewall da 250 milioni, questo e' certo, poi che sia "wind" e che quindi faccia notizia e' un'altro conto. Secondo me, + che tirare in ballo i soliti discorsi sulla cultura della sicurezza e derivati, sarebbe interessante, invece, pensare ai risvolti legali della faccenda... Io, come utente wind, posso denunciarli per non avere protetto i miei dati, per non avere almeno ristretto alla necessita' di una password l'accesso a quella valanga di dati personali? Direi che la prima parte di questa mail e' pura "fuffa", non dice assolutamente niente... forse sono pronto x andare a fare il commerciale? :P On Fri, Jul 13, 2001 at 11:09:07AM +0200, Gian Luca Matteucci wrote: > non sono sicuro di essere IT, pero' credo che la notizia sia di quelle che > fanno piangere per non ridere (ed e' davvero difficile riderci sopra) > > Puntando il browser all'URL http://go.inwind.it:8386 si ha libero e > completo accesso a una quantita' sterminata di informazioni che dovrebbero > essere riservatissime (userid & password della nuova segreteria di wind, > *tutti* i dati inseriti dagli utenti che si registrano ad inWind e altre > cose da far rabbrividire...) > > Ho informato Wind ieri sera e questa mattina cellularitalia.com ha > pubblicato un'articolo > (http://www.cellularitalia.com/news/wind050sicurezza.html) sull'argomento > con un estratto del piu' innoquo di questi file (oscurando i dati critici, > ovviamente). Dalle 10 di questa mattina il server restituisce 403 (piu' di > 12 ore per reagire...si, sono ore notturne, ma wind non e' un provider di > campagna). > > IMHO un errore lo si puo' anche fare, succede a tutti prima o poi, ma che > uno dei principali gestori italiani di telefonia mobile si affidi a > (ir)responsabili di sicurezza che fanno di queste cose mi pare francamente > assurdo. > Possibile che la cultura della sicurezza, in Italia, sia davvero a questi > livelli? > > ciao, > GMatte > > -- > Gian Luca Matteucci (GLM64-RIPE) > > -------------- -------------- > PreSSo@net - La competenza in rete http://www.presso.net/ > Tel: +39 0131 950 932 Fax: +39 02 700 438 846 > GSM: +39 329 687 8213 email: staff@presso.net > -------------- -------------- > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List -- Fabio Pietrosanti ( naif ) E-mail: naif@sikurezza.org - naif@blackhats.it PGP Key (DSS) http://naif.itapac.net/naif.asc -- Free advertising: www.openbsd.org Multiplatform Ultra-secure OS Free Flame: IPFilter sucks ! ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005