Bug 3 Italia - Permette l'accesso non autorizzato a dati personali di tutte le utenze

[fatelo]

Continuo a non credere a questo bug che tu dici di aver scoperto.
Alla fine cosa ti hanno dato come ricompensa di aver rilevato tale problema?

Con la pirateria informatica a tutti i livelli, tutto è possibile, tuttavia, concordo con te che questo "presunto" bug possa non essere vero. Capisco che l'utente non voglia/possa fornire dei dettagli in merito, però potrebbe farci capire qualcosa in più, a supporto dell'attendibilità. Altrimenti, ciascuno di noi se ne potrebbe uscire con qualsiasi "notizia".

Inviato dal mio SM-G530FZ utilizzando Tapatalk

[faquick]

Beh, i sistemi di 3 Italia non sono esattamente a prova di hacker:

http://www.mondo3.com/forum/wind-3/6...dati-wind.html

Furto di dati personali Area Clienti 3 Italia: 5118 clienti a rischio privacy

[starwind]

Ma quindi forse era correlato a questo mio fatto?

http://www.mondo3.com/forum/3-italia...-rovinato.html

[lumassaril]

Ho appena letto Furto di dati personali Area Clienti 3 Italia: 5118 clienti a rischio privacy
Violazione di dati personali nel settore dei servizi telefonici - 11 maggio... - Garante Privacy
ed https://www.key4biz.it/data-breach-c...nvolti/191820/

L'incidente descritto nella notizia è posteriore e del tutto autonomo rispetto alla mia scoperta. Il bug che ho trovato non richiedeva alcun tipo di hacking, nemmeno l'utilizzo di credenziali e potenzialmente permetteva di consultare qualsiasi utenza.
Ovviamente non ho collezionato nessun dato ed ho segnalato direttamente alla H3G grazie all'interessamento di un vs utente tramite il quale sono riuscito ad avere un contatto telefonico con il servizio di sicurezza informatica.

Evidentemente qualcun altro ha pensato di far peggio...

[elmad]

Ho appena letto Furto di dati personali Area Clienti 3 Italia: 5118 clienti a rischio privacy
Violazione di dati personali nel settore dei servizi telefonici - 11 maggio... - Garante Privacy
ed https://www.key4biz.it/data-breach-c...nvolti/191820/

L'incidente descritto nella notizia è posteriore e del tutto autonomo rispetto alla mia scoperta. Il bug che ho trovato non richiedeva alcun tipo di hacking, nemmeno l'utilizzo di credenziali e potenzialmente permetteva di consultare qualsiasi utenza.
Ovviamente non ho collezionato nessun dato ed ho segnalato direttamente alla H3G grazie all'interessamento di un vs utente tramite il quale sono riuscito ad avere un contatto telefonico con il servizio di sicurezza informatica.

Evidentemente qualcun altro ha pensato di far peggio...

Senza accusare alcuno, ma è periodo di agitazioni e problemi in 3 a quanto si vede, avrei una domanda...

Mi chiedevo se questo data breach è passato un po' sminuito o ce ne sono stati altri. Io non ho ricevuto nessuna comunicazione da 3, quindi in teoria la mia utenza non dovrebbe essere stata interessata dal data breach, corretto?

In ogni caso, sono arrivato qui, perché oggi, per la prima volta nella mia vita, mi sono arrivati addebiti non autorizzati sulla mia carta di credito. Subito bloccata, denuncia fatta, credo che andrà tutto a posto.

Però mi chiedevo come questi "hacker" hanno ottenuto i dati della mia carta di credito. Non l'ho utilizzata di recente, ho controllato tutti i siti che ho utilizzato in passato per acquisti online, e nessuno aveva salvato la carta come metodo di pagamento, oltre ad utilizzare servizi terzi (tipo banca sella, ect...).

Questa carta aveva un unico addebito autorizzato: H3G. Ora, mi sembra un'ipotesi remota, è pur sempre una grossa azienda, ma leggendo queste cose... non è che i dati della mia carta sono stati trafugati a H3G?

E' una cosa tecnicamente possibile? Chiedo perché non so come funziona tecnicamente l'addebito mensile cdc.

Ripeto che non accuso nessuno, mi chiedo solo se la cosa è teoricamente possibile. In ogni caso, fosse così, si verrebbe a sapere, perché non sarei solo io ad aver subito questo inconveniente, ma migliaia di persone.

[lumassaril]

Senza accusare alcuno, ma è periodo di agitazioni e problemi in 3 a quanto si vede, avrei una domanda...

Mi chiedevo se questo data breach è passato un po' sminuito o ce ne sono stati altri. Io non ho ricevuto nessuna comunicazione da 3, quindi in teoria la mia utenza non dovrebbe essere stata interessata dal data breach, corretto?

In ogni caso, sono arrivato qui, perché oggi, per la prima volta nella mia vita, mi sono arrivati addebiti non autorizzati sulla mia carta di credito. Subito bloccata, denuncia fatta, credo che andrà tutto a posto.

Però mi chiedevo come questi "hacker" hanno ottenuto i dati della mia carta di credito. Non l'ho utilizzata di recente, ho controllato tutti i siti che ho utilizzato in passato per acquisti online, e nessuno aveva salvato la carta come metodo di pagamento, oltre ad utilizzare servizi terzi (tipo banca sella, ect...).

Questa carta aveva un unico addebito autorizzato: H3G. Ora, mi sembra un'ipotesi remota, è pur sempre una grossa azienda, ma leggendo queste cose... non è che i dati della mia carta sono stati trafugati a H3G?

E' una cosa tecnicamente possibile? Chiedo perché non so come funziona tecnicamente l'addebito mensile cdc.

Ripeto che non accuso nessuno, mi chiedo solo se la cosa è teoricamente possibile. In ogni caso, fosse così, si verrebbe a sapere, perché non sarei solo io ad aver subito questo inconveniente, ma migliaia di persone.

Della falle che ho segnalato io, non credo sia possibile acquisire tali dati in quanto permettevano la consultazione dei dati in areaclienti3.
Ti consiglio di fare una denuncia agli organi preposti. Se più utenti H3G lamentano addebiti non autorizzati sulla carta è probabile che verifichino eventuali responsabilità oggettive della compagnia.

[elmad]

Si parla di sicurezza e mandi link di host sconosciuti con codice php da cliccare? Perché ci dovremmo fidare? Anche se scritti da te, mi spiace ma non ci sono elementi per potersi fidare.

Consiglio ai moderatori di rimuovere i link.

[lumassaril]

Si parla di sicurezza e mandi link di host sconosciuti con codice php da cliccare? Perché ci dovremmo fidare? Anche se scritti da te, mi spiace ma non ci sono elementi per potersi fidare. Consiglio ai moderatori di rimuovere i link.

Il link probabilmente non è dei più belli. Ma un indirizzo più bello significa anche più affidabile? Non è obbligatorio cliccare sul link (che ricordo funziona solo sotto rete 3) ma semplicemente serve a sollevare il problema dando riscontro pubblico del pericolo che si corre: qualsiasi url può potenzialmente acquisire i vostri dati senza sforzo. E se ci fossero molti siti che sfruttano questa vulnerabilità per identificarvi? Qualcuno sa come funziona l'attivazione dei servizi premium (sms et similia) e se gli elementi che ritorna il mio url sono sufficienti alla attivazione dei servizi a sovraprezzo senza che l'utente abbia accettato? Vorrei capire se impatta anche in questo.

[ciaodom]

Il link probabilmente non è dei più belli. Ma un indirizzo più bello significa anche più affidabile? Non è obbligatorio cliccare sul link (che ricordo funziona solo sotto rete 3) ma semplicemente serve a sollevare il problema dando riscontro pubblico del pericolo che si corre: qualsiasi url può potenzialmente acquisire i vostri dati senza sforzo. E se ci fossero molti siti che sfruttano questa vulnerabilità per identificarvi? Qualcuno sa come funziona l'attivazione dei servizi premium (sms et similia) e se gli elementi che ritorna il mio url sono sufficienti alla attivazione dei servizi a sovraprezzo senza che l'utente abbia accettato? Vorrei capire se impatta anche in questo.

Dovrebbe essere necessario il solo MSISDN, almeno da qualche specifica letta online, dato che solitamente pare sia esposto di default

[elmad]

Il link probabilmente non è dei più belli. Ma un indirizzo più bello significa anche più affidabile? Non è obbligatorio cliccare sul link (che ricordo funziona solo sotto rete 3) ma semplicemente serve a sollevare il problema dando riscontro pubblico del pericolo che si corre: qualsiasi url può potenzialmente acquisire i vostri dati senza sforzo. E se ci fossero molti siti che sfruttano questa vulnerabilità per identificarvi? Qualcuno sa come funziona l'attivazione dei servizi premium (sms et similia) e se gli elementi che ritorna il mio url sono sufficienti alla attivazione dei servizi a sovraprezzo senza che l'utente abbia accettato? Vorrei capire se impatta anche in questo.

Se è questo il tuo intento metti codice client-side, come javascript, così da poter leggere il source. Equivale a metterlo open source, ma tanto la disclosure con h3g l'hai già fatta, no?

Se mi dai un link con codice server-side, come php, come faccio a sapere che non ti salvi i dati che visualizzo?