Chi si fida di Poste Italiane?

Sabato scorso, 10 Ottobre, il sito di Poste Italiane è stato defacciato. Qui trovate un’immagine del sito com’era e il testo della “rivendicazione” http://www.digitalnoise.it/2009/10/11/attacco-hacker-a-poste-italiane/.
Il sito è stato in seguito ripristinato ed è stato fatto un comunicato stampa sull’accaduto che è ancora in primo piano sul sito http://www.poste.it/.
Tutto tranquillo? Non è successo niente vero? Son cose che capitano spesso, che ci si può fare?
Purtroppo non c’è niente di tranquillo e di normale.
Secondo questa fonte http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/, il sito di Poste Italiane era soggetto a problemi di SQL injection almeno dal 5 Settembre scorso e l’azienda era stata notificata del problema, più di un mese prima del defacciamento.
Non solo, da queste informazioni è evidente che ci fosse un qualche accesso anche ad un backend Oracle… che dati contenesse non sono in grado di dirvelo ma sono visibili delle tabelle con utenze di login e hash di password relative…
Mi auguro che quanto dichiarato nel comunicato sia vero e che, quindi, la base dati non sia stata toccata, però da quanto capisco l’azione dimostrativa del defacciamento li ha forse tolti da un possibile problema ancora più grave.
C’è da dire che quello che riferisce la fonte unu1234567 cozza un po’ con il comunicato stampa che tende a minimizzare e a rassicurare i clienti. Clienti che non sapendo o capendo nulla di problematiche di sicurezza informatiche non saranno mai in grado di valutare i rischi che corrono con Poste Italiane. Dobbiamo solo accettare per vere le loro parole magari sperando che si approfitti dell’onda mediatica per fare alcune modifiche o usare qualche incentivo economico aumentando ancora gli strati e i livelli di sicurezza.
Capisco che per tutte le aziende sia normale fare così, ma come facciamo a capire qual’è la verità e se ci si può fidare?


This entry was posted on Thursday, October 15th, 2009 at 7:36 PM and is filed under security.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.