Re: log e password di inWind sul web

At 22.04 13/07/01 +0200, you wrote:

>Visto che la libera fuoriuscita di informazioni riguardanti i clienti
>sembra che non sia stata creata da buchi imprevisti nel software
>"exploitabili", ne da hacking dall'esterno / trojan, ne da cause che si
>potrebbero far dipendere da terze parti  (visto che comunque su tale
>porta c'e' ancora un web server che ritorna un 403) ma solo da mancanze
>*interne* a Wind, mi chiedo se sia da denuncia visto che tale lacuna
>ingiustificabile disattende il punto contrattuale sulla privacy
>stipulato dal cliente con Wind. E' evidente che un danno potenziale agli
>utenti c'e' stato.
>Quello che e' successo equivale a metter in bacheca dati utente per
>comodita' propria sperando che nessuno vi getti l'occhio.
>Probabilmente qualcuno crede che mettere un servizio su una porta
>solitamente "unbound" si avvicini al concetto di tutela e segretezza.
>Non al mio e di tanti altri.

Il programma in questione SMARTEN non e' altro che il software di 
billing/provisioning.
In ogni caso la responsabilita' di quello che e' successo e' in primis di Wind
che non ha notato la presenza di porte aperte nei vari agent del programma.
Bastava fare un netstat o usare uno dei tanti tools tipo lsof per 
vederlo...e provvedere
a chiudere il servizio sul firewall.

Un'altra cosa che mi lascia perplesso e' il motivo di lasciare aperti range 
di porte al mondo,
quando il medesimo server deve  poter comunicare solo con db oracle, 
homepage utenti,
centrali telefoniche, etc etc , che sono cmq presenti nella rete wind.

Ai posteri l'ardua sentenza...







________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List