Finalmente hanno corretto il bug.
Chissà se mi riconosceranno qualche merito...
Finalmente hanno corretto il bug.
Chissà se mi riconosceranno qualche merito...
La mia unica paura è che mi creino noie dal punto di vista legale, nonostante abbia prontamente segnalato il bug e non lo abbia diffuso pubblicamente.
Il mio unico obiettivo era vedere risolto il bug prima che qualche malintenzionato lo sfruttasse.
Mi ci è voluto più di un mese per avere un feedback e solo grazie alla prontezza di un dipendente che bazzica da queste parti! Assurdo. Chissà da quanto era possibile sfruttarlo...
Nelle mail scambiate con il servizio di sicurezza informatica sembrava che avessero solo l'interesse a conoscere la mia identità, nonostante avessi chiesto informazioni su come gestiscono queste collaborazioni dal punto di vista legale e sugli eventuali benefit che riservano.
Se notate problemi alla piattaforma area clienti 3 state tranquilli, stanno correggendo il bug di cui ho parlato in precedenza.
Considerate che ho trovato qualcos'altro, ma chi me lo fa fare di segnalare ancora? Con un po di fortuna forse sistemano anche quest'altra roba...
Se devo essere sincero non ci credo a quello da te riportato.
Ammesso che sia vero che ricompensa di hanno dato?
Ti hanno fatto un bonifico con opzione a costo zero?
Beh alla brutta segnalala alle autorità... poi ci pensano loro. Del resto sei incappato in un bug, non stavi tentando di hackerare il sistema....
Beh, facendo operazioni "normali" sui sistemi, non si riesce ad accedere ai dati degli altri, quindi stava cercando vulnerabilità sui sistemi.
Gli fa onore che non le abbia usate e che le abbia segnalate, ma se volessero fare gli str..., potrebbero denunciarlo per violazione di sistema informatico.
Inviato dal mio iPhone utilizzando Tapatalk
Se un cliente normale entra nel sito 3 con account e password accede all'area personale non vedo cosa possa vedere riguardo altri clienti 3 o altro.
Se fosse vero qualche malintenzionato hacker esperto avrebbe attivato o spostato credito ...a quanto pare tutto ciò non vi é stato.
Per farla breve, ho scoperto che uno dei sistemi che la tre utilizza per fornire dettagli sull'utenza, non verificava per nulla che le credenziali fossero congrue con il numero di cui si richiedevano informazioni. Da qui l'arbitrarietà dei dati che era possibile richiedere.
La cosa ancora più grave è che ero riuscito a trovare pure un meccanismo che senza alcuna autenticazione permetteva comunque di richiedere questi dati, ed il sistema allegramente le ritornava. Condite il tutto con connessioni tramite sistemi di anonimizzazione e capirete che bel pasticcio.
Adesso è stato tutto patchato. Se avete malfunzionamenti usando qualche sistema è sicuro che sono parti che erano vulnerabili e che non sono state ancora sistemate, ma solo bloccate in emergenza.
Una cosa talmente banale da 1° elementare di sicurezza informatica... Imbarazzante! Credeteci o no, ma è così. Per non so quanto tempo chiunque poteva fare qualsiasi cosa con le vostre utenze. Simpatico no?
Dovevo arrivare a questo? Appena ho scoperto e verificato la falla mi sono drizzati i capelli. Ho subito pensato ad avvisarli prima che qualcuno potesse realmente sfruttarla...
Immaginati se qualcuno ti chiamasse al telefono guadagnandosi la tua fiducia snocciolando dei dati privati che solo tu e la tua compagnia può avere. O peggio ancora se qualcuno lo avesse sfruttato per accedere illecitamente alla tua identità? bho sarò esagerato, ma questa roba è da suicidio della privacy...
Violare? Cosa? Si era violato da solo visto che rispondeva ad ogni richiesta arbitraria. Roba da matti...