Home

"I'm brave but I'm chicken shit"

Buco nella sicurezza della posta Fastweb

FastmailSei un utente Fastweb, e usi la webmail per controllare la tua casella. Qualcuno ti manda un messaggio con un link a questo blog. Tu clicchi, ed il referrer che mi trasmetti contiene anche il sid di sessione. Risultato: cliccando sul referrer vedo il tuo messaggio esattamente come lo hai letto tu. Ho cercato sul sito Fastweb un recapito adatto per avvertire, ma non sono stato in grado di trovarlo, qualcuno ha un indirizzo a cui posso scrivere?


Pubblicato

in

da

Commenti

14 risposte a “Buco nella sicurezza della posta Fastweb”

  1. Avatar xarface

    Non � l’unico caso: � pieno di webmail che fanno la stessa cosa.

    C’� da dire che il tutto � appena un po’ mitigato dal fatto che se l’utente esce dalla sua webmail prima che tu ci vada a mettere il naso, l’id di sessione non � pi� valido.

    Ma c’� anche da dire che il bug pu� essere sfruttato in maniera pi� infame: se tu mandi una mail in formato HTML a un utente fastweb e ci piazzi dentro un elemento dinamicamente generato da un tuo server, puoi fare in modo che appena la vittima legge il messaggio, tu venga avvisato in tempo reale e quindi ti precipiti a intrufolarti nella sua mailbox.

  2. Avatar PlacidaSignora

    Ricevo direttamente su outlook, ma non uso mai quell’indirizzo. Per� � grave che accada questo: forse telefonare all’assistenza � meglio che scrivere: se scrivi non rispondono mai. (non che � che telefono, vabb�…;-)
    Qui c’� niente come indirizzo?
    (Ho tolto l’indirizzo su richiesta di Placida Signora. Andrea)

  3. Avatar Tony Siino

    Attento che se Gianluca Neri vede l’immagine ti decripta tutti gli indirizzi sotto le pecette con la vista a raggi ics! 😛

  4. Avatar Andrea Beggi

    @xarface: in effetti il link adesso non funziona pi�.
    @PlacidaSignora: sospetto che al telefono non capirebbero neppure di cosa sto parlando, se conosco i miei polli.
    @Tony: in effetti ci avevo pensato. 🙂

  5. Avatar PlacidaSignora

    E provare a parlarne nel forum?
    http://www.fastweb.it/forum/index.php (stavolta indirizzo corretto 😉

  6. Avatar Procionegobbo

    Molto grave, conosco gente che tiene la webmail aperta tutto il giorno per leggere la posta dall’ufficio.

  7. Avatar Giovy

    Wow, bel bucone, complimenti Andrea, stai per diventare famoso come il GNeri… 😛
    … e mi ha fatto morire dal ridere il commento di Tony… great! 😀

  8. Warning per la webmail di fastweb

    Bug sulla webmail di fastweb segnalato da Andrea Beggi

  9. Avatar Andrea Beggi

    @Placida: per accedere al forum bisogna essere utenti Fastweb.

  10. Avatar Zu

    Sul forum (sezione MegaInternet) � gi� stato segnalato, ma non so quale peso possa avere. Tanto per dire, sono utente Fastweb dal 2000 ed � la prima volta che accedo al forum per dare un’occhiata (e solo perch� me l’ha chiesto Placida).

  11. Avatar Tambu

    telefonare all’assistenza fastweb?

    mhuahahahahahaha!!!

  12. […] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. […]

  13. Avatar Fresco
    Fresco

    andy blog: [�] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. [�]

    il mio collega….hahahahaahahahahaha…Andy ma lo sai di cosa parli?hahahahaha

  14. Avatar Giorgio

    Leggete un po’ questo articolo scritto da un acker.
    Giusto per storicizzare su Fastweb (dopo Telecom il nuovo anticristo della comunicazione)

    http://www.s0ftpj.org/bfi/online/bfi10/BFi10-13.html