Emilio Pinna ha recentemente scoperto una vulnerabilità sulla MyFastPage di Fastweb di tipo XSS (Cross-site scripting), pertanto un malintenzionato potrebbe accedere al pannello di controllo di un utente Fastweb permettendoli di accedere alla Fastmail, al ContoOnLine, consultare e variare dati e recapiti personali , tabulati voce e internet, modificare le configurazioni del router casilingo, acquistare servizi aggiuntivi a carico degli utenti.
Emilio ha diffuso un PDF in cui viene spiegata dettagliatamente la vulnerabilità ed ha creato un POC per dimostrare la vulnerabilità XSS accessibile da questo collegamento.
Ciao Andrea, grazie mille per questo articolo!
Comunque, quando provo a cliccare un qualunque link nella pagina del POC, alla fine mi da sempre questo messaggio:
“Attenzione!! Il servizio richiesto non è disponibile.”
Posso correttamente dedurre che la vulnerabilità è stata corretta?
t3sty comunque continua a funzionare, e non ho ricevuto particolari segnalazioni di malfunzionamento. Dato che hanno disattivato qualche pannello e ne hanno attivato qualche altro (ho corretto nel POC) probabilmente hai cercato di accedere proprio a quelli già disattivati. Se hai tempo riprova e fammi sapere.
@t3sty rispondo per andrea: ora nn sono a casa ma potrebbe essere, oggi ho contattato il responsabile della IT security e magari hanno corretto subito. Quando torno a casa provo e ti dico.
Articolo
interessante, ma non è la prima volta che fastweb inciampa sulla buccia
di banana. A setttembre 2010 era uscito un articolo da
ihteam (http://www.ihteam.net/hacking-news/problemi-di-privacy-per-fastweb-italia/) nel quale veniva venina descritta una
vulnerabilità molto più semplice da sfruttare e applicabile in larga
scala.
Grazie della Segnalazione! 😉
[…] oversecurity.net Condividi in Facebook Buzz it up Tweet about it Abbonati ai commenti su questo articolo Stampa […]