Emilio Pinna ha recentemente scoperto una vulnerabilità sulla MyFastPage di Fastweb di tipo XSS (Cross-site scripting), pertanto un malintenzionato potrebbe accedere al pannello di controllo di un utente Fastweb permettendoli di accedere alla Fastmail, al ContoOnLine, consultare e variare dati e recapiti personali , tabulati voce e internet, modificare le configurazioni del router casilingo, acquistare servizi aggiuntivi a carico degli utenti.

Emilio ha diffuso un PDF in cui viene spiegata dettagliatamente la vulnerabilità ed ha creato un POC per dimostrare la vulnerabilità XSS accessibile da questo collegamento.

6
Lascia una recensione

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
T3STY
Ospite
T3STY

Ciao Andrea, grazie mille per questo articolo!
Comunque, quando provo a cliccare un qualunque link nella pagina del POC, alla fine mi da sempre questo messaggio:
“Attenzione!! Il servizio richiesto non è disponibile.”
Posso correttamente dedurre che la vulnerabilità è stata corretta?

Emilio
Ospite

t3sty comunque continua a funzionare, e non ho ricevuto particolari segnalazioni di malfunzionamento. Dato che hanno disattivato qualche pannello e ne hanno attivato qualche altro (ho corretto nel POC) probabilmente hai cercato di accedere proprio a quelli già disattivati. Se hai tempo riprova e fammi sapere. 

Emilio
Ospite

@t3sty rispondo per andrea: ora nn sono a casa ma potrebbe essere, oggi ho contattato il responsabile della IT security e magari hanno corretto subito. Quando torno a casa provo e ti dico.

R00t_ati
Ospite
R00t_ati

Articolo
interessante, ma non è la prima volta che fastweb inciampa sulla buccia
di banana. A setttembre 2010 era uscito un articolo da
ihteam (http://www.ihteam.net/hacking-news/problemi-di-privacy-per-fastweb-italia/) nel quale veniva venina descritta una
vulnerabilità molto più semplice da sfruttare e applicabile in larga
scala.

trackback

[…] oversecurity.net Condividi in Facebook Buzz it up Tweet about it Abbonati ai commenti su questo articolo Stampa […]