Il blog di Andrea Giuliani
Gravi vulnerabilità sul sito Fineco.it
2Ott2007 Filed under: Sicurezza Author: Andrea GiulianiPreambolo
Per motivi di sicurezza non avrei voluto pubblicare questo articolo, ho provato in tutti i modi a contattare Fineco: via telefono passando di centralino in centralino, rivolgendomi a Capitalia, gruppo che fa capo a Fineco, inviado decine di email, ma dopo due settimane senza aver ottenuto alcuna risposta, l’unico modo che ho per attirare l’attenzione dei responsabili del portale è scrivere su questo blog nella speranza che qualcuno ne venga a conoscenza.
Due vunlerabilità XSS
Sul sito Fineco.it ho riscontrato due vulnerabilità di tipo Cross Site Scripting (XSS) che permettono di eseguire codice javascript all’interno delle pagine.
Tramite un XSS si possono confezionare truffe online talmente credibili da non sembrare tali, un esempio lo potete osservare nell’immagine.
Con la scusa di indirizzare ad una pagina sicura del server Fineco, un malintenzionato potrebbe tranquillamente guadagnarsi la fiducia dell’utente per poi fargli eseguire il login su pagina esterna e carpirgli i dati sensibili.
Solitamente gli attachi phishing avvengono tramite l’invio di email nelle quali si invita a cliccare su un link che porta la vittima ad effettuare il login su un sito truffa. Ormai i più prudenti si accorgono che il collegamento in realtà non porta alla loro banca, ma in questo caso anche un utente particolarmente attento potrebbe diventare una potenziale vittima per il semplice fatto che il link punta veramente al sito della sua banca, ma successivamente avviene un reindirizzamento ad una pagina esterna.
Redirect con l’AdServer
Un’altra vulnerabilità risiede su un adserver, ovvero un server creato con il solo scopo di gestire i banner pubblicitari. In questo caso non viene effettuato nessun controllo sulla variabile path di destinazione del banner, pertanto sostituendo il percorso di destinazione con un indirizzo esterno viene portato a compimento un redirect.
Misure cauletative
Finchè Fineco non risolverà le vulnerabilità, per motivi di sicurezza non ritengo opportuno pubblicare nessuno dei possibili exploit, successivamente renderò noti dettagli e documentazione.
Come posso proteggermi da simili attacchi?
La prudenza è d’obbligo ma a volte non basta. Il mio consiglio è di installare la toolbar Netcraft in grado di rilevare gli attacchi XSS, verificare l’autenticità di un sito internet e segnalarvi immediatamente siti fraudolenti.
UPDATE: FINECO HA CORRETTO TUTTE LE VULNERABILITA’
Tags:bug fineco vulnerabilità xss6 Responses to “Gravi vulnerabilità sul sito Fineco.it”
Leave a reply
About this blog
Ciao! Mi chiamo Andrea Giuliani e questo è il mio blog, contenitore di notizie su tecnologia, sicurezza informatica, sistemi operativi e ambiente.
Luca
Ottobre 2nd, 2007 at 12:42 pm
Grazie per l’informazione. Proverò a contattare Fineco per chiedere delucidazioni.
mirkosp
Ottobre 2nd, 2007 at 7:46 pm
Andrea sei semplicemente un mito. Speriamo che Fineco ti dia retta, è una cosa molto grave questa…
PERICOLO SICUREZZA SU FINECO! » BorsaTrend
Ottobre 2nd, 2007 at 8:25 pm
[…] credo ai miei occhi, ma alla lettura di questo articolo sono rimasto completamente […]
luca
Ottobre 2nd, 2007 at 9:18 pm
Grazie, è importante divulgare queste notizie e fare cartello nei confronti di fineco al fine di evitare spiacevoli sorprese…per tutti!!
Andrea Giuliani » Fineco: tutto risolto!
Ottobre 5th, 2007 at 5:55 pm
[…] tutto risolto! Ieri Fineco ha finito di risolvere tutte le vulnerabilità da me segnalate. Devo dire che il team ha svolto un buon lavoro anche in tempi relativamente brevi dalla data di […]
Giovanni Spano
Agosto 4th, 2008 at 1:35 pm
ATTENZIONE : le truffe continuano. Lo scorso 20 luglio 2008, al ritorno da un mese di vacanza all’estero , entrando mio nel conto corrente di Banca Fineco, ho trovato un bonifico eseguito il 7 luglio 2008 da ignoti vs tale Irina zhezlova in un conto corrente della Banca Toscana Agenzia 9 di Roma. E’ stata fatta denuncia ai Carabinieri.
Escludo FISHING o metodi similari , in quanto mi ritengo cliente evoluto , il conto esiste da 8 anni, senza mai aver avuto alcun tipo di problema.
Fineco , in un primo momento ci ha illusi ai fini della restituzione dell’importo, successivamente alla conferma del beneficiario di non restituire i soldi, ci ha brutalmente abbandonato. Ora procediamo con un legale Adusbef , con il reclamo formale secondo Ombudsman.
Appena possibile potrete vedere su 11 testate giornalistiche articoli inerenti a quanto accaduto.
Tengo a divulgare tutto ciò per far in modo che ad altre persone non accada la medesima truffa.
FINECO , secondo me dovrebbe riflettere sul proprio grado di sicurezza, e rapporto con la clientela, visto che questi due elementi sono alla base di un c/c on line.
Giovanni Spano