Re: log e password di inWind sul web

Gian Luca Matteucci wrote:

> IMHO un errore lo si puo' anche fare, succede a tutti prima o poi, ma
> che
> uno dei principali gestori italiani di telefonia mobile si affidi a
> (ir)responsabili di sicurezza che fanno di queste cose mi pare
> francamente
> assurdo.
> Possibile che la cultura della sicurezza, in Italia, sia davvero a
> questi
> livelli?

Visto che la libera fuoriuscita di informazioni riguardanti i clienti
sembra che non sia stata creata da buchi imprevisti nel software
"exploitabili", ne da hacking dall'esterno / trojan, ne da cause che si
potrebbero far dipendere da terze parti  (visto che comunque su tale
porta c'e' ancora un web server che ritorna un 403) ma solo da mancanze
*interne* a Wind, mi chiedo se sia da denuncia visto che tale lacuna
ingiustificabile disattende il punto contrattuale sulla privacy
stipulato dal cliente con Wind. E' evidente che un danno potenziale agli
utenti c'e' stato.
Quello che e' successo equivale a metter in bacheca dati utente per
comodita' propria sperando che nessuno vi getti l'occhio.
Probabilmente qualcuno crede che mettere un servizio su una porta
solitamente "unbound" si avvicini al concetto di tutela e segretezza.
Non al mio e di tanti altri.

Solidarieta' per il povero sysadmin (o un capro espiatorio di analogo
ruolo) a cui faranno un culo a capanna per i prossimi giorni!





--
.FT






________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List