Il blog di Andrea Giuliani
Ieri Fineco ha finito di risolvere tutte le vulnerabilità da me segnalate. Devo dire che il team ha svolto un buon lavoro anche in tempi relativamente brevi dalla data di pubblicazione.
Ho avuto la possibilità di parlare con alcuni esperti del Fineco Network Staff che, oltre a ringraziarmi, mi hanno rassicurato che tutte le vulnerabilità sono state risolte e che i clienti posso sentirsi completamente sicuri.
Ora posso ritenermi soddisfatto.
Come promesso pubblico i dettagli.
Gli indirizzi grazie ai quali si poteva eseguire codice javascript sono i seguenti:
http://online.fineco.it/public/investor/spotT.asp?path=codice-javascript
http://online.fineco.it/public/banking/demoServizi.asp?tab=codice-javascript
Mentre il redirect avveniva tramite questo url:
http://adserver.fineco.it/adserver/adclick.php?bannerid=0&dest=url-di-destinazione
Per aver la conferma di quanto pubblicato ho girato un breve video con alcuni esempi a scopo dimostrativo.
Ora sto iniziando a verificare la sicurezza di altre banche, in particolare di BNL che non ha ancora risolto le vulnerabilità segnalate lo scorso anno da me e Vincenzo.
Tags:fineco vulnerabilità xssCiao! Mi chiamo Andrea Giuliani e questo è il mio blog, contenitore di notizie su tecnologia, sicurezza informatica, sistemi operativi e ambiente.
mirkosp
Ottobre 5th, 2007 at 7:46 pm
Meno male che ti hanno ascoltato. Andrea, se non ci fossi stato tu, chissà quanti italiani sarebbero stati gabolati prima che Fineco avesse notato la cosa… dobbiamo ringraziarti un po’ tutti!
FINECO RISPONDE E RISOLVE I PROBLEMI DI SICUREZZA » BorsaTrend
Ottobre 7th, 2007 at 11:02 am
[…] Per garantire la veridicità dell’accaduto, l’esperto Andrea Giuliani ha girato anche un video prima della risoluzione da parte dei tecnici di Fineco, per attestare l’esistenza delle falle presenti nel sistema potete visionare il video qui. […]
Andrea Giuliani » Gravi vulnerabilità sul sito Fineco.it
Ottobre 9th, 2007 at 7:04 pm
[…] UPDATE: FINECO HA CORRETTO TUTTE LE VULNERABILITA’ […]
Sotto l’ombra degli olmi » C’è poco da stare tranquilli
Ottobre 18th, 2007 at 12:30 am
[…] E così Fineco ha risolto un paio di settimane fa alcune vulnerabilità che erano state segnalate da un ragazzo italiano. […]
emiliano
Maggio 10th, 2008 at 2:14 pm
Ciao..ho letto con molta curiosità i suoi interessatni post sulla sicurezza del sito Fineco (io sono correntista dal 2002).
Per quanto riguarda il piscing c’è da dire cmq che le email di fineco non sono autenticate.. quindi okkio a cliccare i link nell’email…giusto?
Fineco, dici tu, ha risolto le vulnerabilità…in che senzo?quei ilink con codice java non esistono più? scusa l’ignoranza…
Andrea Giuliani
Maggio 10th, 2008 at 3:15 pm
@emiliano: in pratica il codice javascript non viene più eseguito. Per quanto riguarda le email, bisogna prestare la massima attenzione!
Mario
Febbraio 21st, 2009 at 11:19 pm
Grande Andrea,
fossi in Fineco ti assumerei nella sicurezza, ma per caso ti sei fatto un giro anche su INGDIRECT? Rendimax? IWbank… su quest’ultima sembra ci siano casi segnalati anche da Striscia la Notizia…
Ciao,
Mario