Sei un utente Fastweb, e usi la webmail per controllare la tua casella. Qualcuno ti manda un messaggio con un link a questo blog. Tu clicchi, ed il referrer che mi trasmetti contiene anche il sid di sessione. Risultato: cliccando sul referrer vedo il tuo messaggio esattamente come lo hai letto tu. Ho cercato sul sito Fastweb un recapito adatto per avvertire, ma non sono stato in grado di trovarlo, qualcuno ha un indirizzo a cui posso scrivere?
Commenti
14 risposte a “Buco nella sicurezza della posta Fastweb”
Non � l’unico caso: � pieno di webmail che fanno la stessa cosa.
C’� da dire che il tutto � appena un po’ mitigato dal fatto che se l’utente esce dalla sua webmail prima che tu ci vada a mettere il naso, l’id di sessione non � pi� valido.
Ma c’� anche da dire che il bug pu� essere sfruttato in maniera pi� infame: se tu mandi una mail in formato HTML a un utente fastweb e ci piazzi dentro un elemento dinamicamente generato da un tuo server, puoi fare in modo che appena la vittima legge il messaggio, tu venga avvisato in tempo reale e quindi ti precipiti a intrufolarti nella sua mailbox.
Ricevo direttamente su outlook, ma non uso mai quell’indirizzo. Per� � grave che accada questo: forse telefonare all’assistenza � meglio che scrivere: se scrivi non rispondono mai. (non che � che telefono, vabb�…;-)
Qui c’� niente come indirizzo?
(Ho tolto l’indirizzo su richiesta di Placida Signora. Andrea)
Attento che se Gianluca Neri vede l’immagine ti decripta tutti gli indirizzi sotto le pecette con la vista a raggi ics! 😛
@xarface: in effetti il link adesso non funziona pi�.
@PlacidaSignora: sospetto che al telefono non capirebbero neppure di cosa sto parlando, se conosco i miei polli.
@Tony: in effetti ci avevo pensato. 🙂
E provare a parlarne nel forum?
http://www.fastweb.it/forum/index.php (stavolta indirizzo corretto 😉
Molto grave, conosco gente che tiene la webmail aperta tutto il giorno per leggere la posta dall’ufficio.
Wow, bel bucone, complimenti Andrea, stai per diventare famoso come il GNeri… 😛
… e mi ha fatto morire dal ridere il commento di Tony… great! 😀
Warning per la webmail di fastweb
Bug sulla webmail di fastweb segnalato da Andrea Beggi
@Placida: per accedere al forum bisogna essere utenti Fastweb.
Sul forum (sezione MegaInternet) � gi� stato segnalato, ma non so quale peso possa avere. Tanto per dire, sono utente Fastweb dal 2000 ed � la prima volta che accedo al forum per dare un’occhiata (e solo perch� me l’ha chiesto Placida).
telefonare all’assistenza fastweb?
mhuahahahahahaha!!!
[…] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. […]
andy blog: [�] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. [�]
il mio collega….hahahahaahahahahaha…Andy ma lo sai di cosa parli?hahahahaha
Leggete un po’ questo articolo scritto da un acker.
Giusto per storicizzare su Fastweb (dopo Telecom il nuovo anticristo della comunicazione)
http://www.s0ftpj.org/bfi/online/bfi10/BFi10-13.html