Andrea Beggi

Noi non contiamo e siamo destinati a passare. La nostra arte, invece, rimane.

Buco nella sicurezza della posta Fastweb

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

FastmailSei un utente Fastweb, e usi la webmail per controllare la tua casella. Qualcuno ti manda un messaggio con un link a questo blog. Tu clicchi, ed il referrer che mi trasmetti contiene anche il sid di sessione. Risultato: cliccando sul referrer vedo il tuo messaggio esattamente come lo hai letto tu. Ho cercato sul sito Fastweb un recapito adatto per avvertire, ma non sono stato in grado di trovarlo, qualcuno ha un indirizzo a cui posso scrivere?

14 Commenti

xarface | #

Non l’unico caso: pieno di webmail che fanno la stessa cosa.

C’ da dire che il tutto appena un po’ mitigato dal fatto che se l’utente esce dalla sua webmail prima che tu ci vada a mettere il naso, l’id di sessione non pi valido.

Ma c’ anche da dire che il bug pu essere sfruttato in maniera pi infame: se tu mandi una mail in formato HTML a un utente fastweb e ci piazzi dentro un elemento dinamicamente generato da un tuo server, puoi fare in modo che appena la vittima legge il messaggio, tu venga avvisato in tempo reale e quindi ti precipiti a intrufolarti nella sua mailbox.

PlacidaSignora | #

Ricevo direttamente su outlook, ma non uso mai quell’indirizzo. Per grave che accada questo: forse telefonare all’assistenza meglio che scrivere: se scrivi non rispondono mai. (non che che telefono, vabb…;-)
Qui c’ niente come indirizzo?
(Ho tolto l’indirizzo su richiesta di Placida Signora. Andrea)

Tony Siino | #

Attento che se Gianluca Neri vede l’immagine ti decripta tutti gli indirizzi sotto le pecette con la vista a raggi ics! 😛

Andrea Beggi | #

@xarface: in effetti il link adesso non funziona pi.
@PlacidaSignora: sospetto che al telefono non capirebbero neppure di cosa sto parlando, se conosco i miei polli.
@Tony: in effetti ci avevo pensato. 🙂

Procionegobbo | #

Molto grave, conosco gente che tiene la webmail aperta tutto il giorno per leggere la posta dall’ufficio.

Giovy | #

Wow, bel bucone, complimenti Andrea, stai per diventare famoso come il GNeri… 😛
… e mi ha fatto morire dal ridere il commento di Tony… great! 😀

Andrea Beggi | #

@Placida: per accedere al forum bisogna essere utenti Fastweb.

Zu | #

Sul forum (sezione MegaInternet) gi stato segnalato, ma non so quale peso possa avere. Tanto per dire, sono utente Fastweb dal 2000 ed la prima volta che accedo al forum per dare un’occhiata (e solo perch me l’ha chiesto Placida).

Tambu | #

telefonare all’assistenza fastweb?

mhuahahahahahaha!!!

Fresco | #

andy blog: [] Il mio collega Andrea Beggi ha scoperto un nuovo bug riguardante la Webmail di Fastweb. []

il mio collega….hahahahaahahahahaha…Andy ma lo sai di cosa parli?hahahahaha