Bug 3 Italia - Permette l'accesso non autorizzato a dati personali di tutte le utenze

Visualizzazione Stampabile

Visualizza 15 messaggi di questa discussione su una pagina

15/06/2017, 16:58
faquick

Per maggior tranquillità di tutti (lumassaril compreso) ho cancellato i messaggi con i link nonché l'altro thread.

Se volete continuiamo a discutere delle vulnerabilità, ma non mi sembra il caso né da un lato di dimostrarle pubblicamente, né dall'altro di avere dei link a dei file PHP che non sappiamo bene cosa facciano al di là del codice visibile interpretato.
15/06/2017, 17:15
elmad

Citazione:

Originariamente Scritto da faquick

Per maggior tranquillità di tutti (lumassaril compreso) ho cancellato i messaggi con i link nonché l'altro thread.

Se volete continuiamo a discutere delle vulnerabilità, ma non mi sembra il caso né da un lato di dimostrarle pubblicamente, né dall'altro di avere dei link a dei file PHP che non sappiamo bene cosa facciano al di là del codice visibile interpretato.

Per quanto mi riguarda, vorrei precisare che ritengo importante parlare delle vulnerabilità, se ci sono, e se @lumassaril le sta segnalando ad h3g tanto di cappello.

Parlando però di sicurezza, mi sono sentito di intervenire perché quella dimostrazione con codice chiuso è un controsenso, anche se potrebbe dimostrare come i siti possono immagazzinare i dati del navigatore sotto rete 3 (non so se è così perché non ho voluto accedere a quei link).

Del resto, l'alternativa è quella di mettere il tutto open-source, ed a mio parere, passando un certo tempo dall'effettiva disclosure, è tutta responsabilità di 3, ma consiglio a @lumassaril di consultare qualche altro forum o qualcuno su twitter che ha avuto a che fare con queste cose e può aiutarlo, non so, mi viene in mente per esempio nel panorama italiano Matteo Flora https://twitter.com/lastknight

EDIT: Anche perché, prendendo tutto per vero, H3G si è dimostrata anche superficiale e poco riconoscente con lussaril, che avrebbe potuto vendere la vulnerabilità. Fare interessare qualcuno riconosciuto, potrebbe creare il giusto echo.
15/06/2017, 17:59
sponsor3

se e' vero quello riportato dall'utente lumassaril ci saranno altri che son riusciti a memorizzare i dati privati degli utenti.
h3g sta' provvedendo a mettere in sicurezza i suoi clienti impantanati?
15/06/2017, 18:37
sponsor3

H3g ha provveduto come imposto dall'agcom ad avvisare i clienti incappati negli elenchi copiati da alcuni hacker ?
16/06/2017, 09:21
faquick

Era il Garante per la Privacy e direi di sì, anzi presumo che si sia diffusa la notizia dell'ordinanza dopo che i clienti sono stati notificati.

Essendo materia molto delicata, ovviamente non è trapelato molto al di fuori dello specifico reparto che se ne è occupato.
16/06/2017, 10:15
lumassaril

Citazione:

Originariamente Scritto da faquick

Era il Garante per la Privacy e direi di sì, anzi presumo che si sia diffusa la notizia dell'ordinanza dopo che i clienti sono stati notificati.

Essendo materia molto delicata, ovviamente non è trapelato molto al di fuori dello specifico reparto che se ne è occupato.

Forse quello che continua ad essere poco chiaro è che le falle che ho segnalato sono totalmente estranee alla breccia del 20 marzo di cui abbiamo saputo qualcosa con la nota del garante.
Le falle da me evidenziate consentivano l'acquisizione di dati senza utilizzare alcuna credenziale.
17/06/2017, 17:13
elmad

Citazione:

Originariamente Scritto da lumassaril

Forse quello che continua ad essere poco chiaro è che le falle che ho segnalato sono totalmente estranee alla breccia del 20 marzo di cui abbiamo saputo qualcosa con la nota del garante.
Le falle da me evidenziate consentivano l'acquisizione di dati senza utilizzare alcuna credenziale.

Usi il passato perché l'ultima falla da te evidenziata (quella per cui avevi postato i link php) è stata risolta?
18/06/2017, 12:32
angy

@Lumassaril hai la casella pm piena

Visualizza 15 messaggi di questa discussione su una pagina