Peccato che avessi già informato sia loro che la Casaleggio Associati che il sito è un colabrodo e mi sono offerto di fare un audit completo di sicurezza.
Ovviamente non ho mai ottenuto una risposta.
Quindi o non gli interessa se il sito è un colabrodo e se i vostri dati sono in pericolo (ricordate che hanno anche la scansione dei vostri documenti eh), oppure pensano di essere in grado da soli di fare audit di sicurezza.
Peccato che un audit di sicurezza come si deve va fatto da un professionista e non dal primo script kiddie che trovano.
Segue la discussione mail (con i dettagli sui bug oscurati per ovvi motivi):
Ciao,
l'e-mail è arrivata.
Abbiamo passato le segnalazioni ai nostri tecnici.
grazie
Un saluto
Lo staff di Beppe Grillo
Il giorno 01 marzo 2013 12:49, Timothy M. Redaelli ha scritto:
Salve,
volevo solo sapere se vi era arrivata la email oppure se si era persa
in mezzo ai milioni di email che, presumibilmente, ricevete ogni
giorno?
Grazie Mille
---------- Forwarded message ----------
From: Timothy M. Redaelli
Date: 2013/2/26
Subject: Re: [beppegrillo.it] SQJ injection (- Sito web - - Segnalazione)
To: Staff Beppegrillo
Ciao,
ho rilevato solo qualche XSS, non sfruttabile da Google Chrome (e
forse Internet Explorer 9+) per le protezioni anti-XSS che questi
browser hanno (che comunque potrebbero venire superate):
<URL RIMOSSI>
Probabilmente ce ne sono diversi altri, ma non è facile verificare
tutti i possibili buchi in queste circostanze e quindi sono
disponibile a collaborare con la sezione tecnica del sito per un
eventuale audit approfondito o un code review.
Vi sto offrendo queste informazioni in quanto ci sono diversi gruppi
di "hacker" (e simili) in italia, sfruttati da partiti politici e
alcuni di questi potrebbero star lavorando su come fare un "deface" al
sito o su come rubare dei dati sensibili e questo non deve accadere.
Sono un grande sostenitore degli ideali di MoVimento 5 stelle e della
democrazia "diretta" che questo modello propone e sarei più che felice
di poter dare una mano in questo o in qualsiasi altra questione
tecnica.
2013/2/26 Staff Beppegrillo
>
> Ciao,
>
> grazie, hai notato se ci sono altri buchi?
>
> Un saluto
> Lo staff di Beppe Grillo
>
>
>
> Il giorno 26 febbraio 2013 14:45, Timothy M. Redaelli ha scritto:
>
>> Ciao,
>> scusate il ritardo, ma sono stato indisposto negli ultimi 4 giorni.
>>
<URL RIMOSSO>
>>
>>
>> 2013/2/22 Staff Beppegrillo
>>>
>>> Ciao,
>>>
>>> puoi specificare dove è?
>>>
>>> grazie
>>>
>>> Un saluto
>>> Lo staff di Beppe Grillo
>>>
>>> Il giorno 21 febbraio 2013 18:26, Timothy Redaelli ha scritto:
>>>>
>>>> Salve,
>>>> volevo segnalare che nel Vostro sito è presente un SQL injection che potrebbe essere usata per cancellare i dati presenti nel database.
>>>> Inoltre la stessa falla può, mediante XSS, essere usata per "rubare" il cookie di accesso al sito e questo equivale a rubare la password di accesso.
>>>>
>>>> Contattatemi al più presto per i dettagli specifici sulla falla.
>>>>
>>>
>>
>
Ciao ti ho aggiunto su G+, avrei bisogno di un consiglio proprio riguardo a quello che hai scritto qui sopra. Domani creo un post privato e ti spiego, se hai 2 minuti di tempo, e se non ti disturbo. È molto importante!
ReplyDelete