- presentazione del sito
- Registrazione
- Eventi, mostre, convegni ed iniziative segnalate dalle aziende
- Recensioni ed articoli
- Le Mailing Lists
- La rivista Pc Ciechi
- Wiki
- Chi siamo
- Donazioni
- Un progetto degno di nota: Wintalbra
- Come navigare in questo sito
- rss
- Bancomat Accessibili sul territorio nazionale
- Contattaci
- I sostenitori di SpazioAusili
Le aste trappole di ebay
Articolo postato da Carlo Loiodice
su uic h.e., 18\03\2008, h. 12.40.
http://www.repubblica.it/2007/11/sezioni/scienza_e_tecnologia/ebay/hacke...
Ed ora, un po' di pubblicità
:Nel grande buco nero di eBay"Così abbiamo violato il sito"
di MARCO MENSURATI e FABIO TONACCI
Nel grande buco nero di eBay"Così abbiamo violato il sito"
La sede centrale di eBay in California ROMA - C'è un buco nel sistema di sicurezza di eBay. Un buco che si apre e che si chiude di continuo, come la porta
automatica di un grande magazzino. E che permette a qualunque hacker minimamente capace di entrare in possesso delle informazioni personali riservate dei
clienti. E di derubarli. Noi questo buco lo abbiamo individuato, lo abbiamo aperto e poi ci siamo entrati dentro (il video si può vedere sul sito di RepubblicaTv).
Dimostrando, così, quanto sia semplice rubare i dati personali e bancari degli utenti eBay che partecipavano a una determinata asta.
Un'asta come tante, usata però come esca. Con l'aiuto di un hacker abbiamo sfruttato quella che tecnicamente si chiama vulnerabilità "cross-site scripting".
L'operazione non è così complessa come sembra.
EBay, il più grande sito di compravendita online, dà la possibilità agli utenti che ritiene affidabili di abbellire graficamente le
proprie pagine con particolari linguaggi di programmazione. Consegna loro delle chiavi per interagire con la grafica ufficiale, personalizzando l'architettura
del sito. Con quelle chiavi - ottenute piuttosto facilmente - gli hacker costruiscono delle aste trappola (non c'è modo di distinguerle da quelle originali)
e le dispongono ovunque, in quel suk virtuale che è eBay.
Una volta finito in una di queste aste trappola, l'utente è spacciato: non ha più alcun segreto per l'hacker che, in una pagina parallela,
riesce a vedere in chiaro tutti i dati privati dell'account di eBay, password e indirizzo di posta elettronica compresi. Persino il codice di avviamento
bancario e parte del codice numerico della carta di credito. E non è tutto. Si può rubare anche l'elenco dettagliato di tutte le aste a cui l'utente ha
partecipato.
Con quei dati in mano il resto della truffa potrebbe farlo chiunque. Basta inviare al secondo classificato a un'asta qualsiasi una
email, con grafica rigorosamente eBay e con i dati riservati dell'utente, comunicandogli che il vero vincitore si è ritirato dall'affare. Insomma che l'oggetto
cercato è ancora a disposizione. Poi gli si chiede di inviare a un conto corrente, magari all'estero, la somma che aveva offerto per l'asta originale.
Solo che non vedrà mai arrivare l'oggetto vinto. Un sistema molto efficace, se è vero che ogni giorno, ancora oggi, ci cascano decine di migliaia di persone.
L'entità economica di questa truffa su scala planetaria non è nota. Dati ufficiali non ce ne sono (si sa che in Italia nel 2007 gli
hacker in generale hanno causato danni per 5.432.548 euro con le truffe online). EBay non li comunica, non ha alcun interesse a farlo perché gli effetti
psicologici derivanti dalla divulgazione di tali dati sarebbero devastanti per tutto l'e-commerce.
Ma basta dare un'occhiata all'Internet crime report dell'Fbi per capire di cosa stiamo parlando: "Nel 2006 - dice la relazione - il
44% del totale dei reati online è stato consumato attraverso la "manipolazione" di aste. E il 19% ha a che vedere con la merce non consegnata". Oppure,
per farsi un'idea, si può parlare con gli esperti della polizia postale italiana, o meglio ancora, con le loro "fonti riservate", quelle che trascorrono
ore e ore online a caccia di truffe e truffatori, per rendersi conto dell'entità dell'emorragia. Decine di milioni di euro ogni anno. In tutto il mondo.
Nel 2006 c'era stata persino una nota ufficiale del dipartimento di sicurezza degli Stati Uniti che denunciava la vulnerabilità del
sistema ma da allora non è stato fatto un solo passo in avanti, come dimostra la nostra incursione. Ma chi approfitta di questo buco nel muro di sicurezza
di eBay? Chi sono questi truffatori? A spiegarlo è il maggiore Edoardo Viti, del comando provinciale della Guardia di Finanza di Milano. "Sappiamo che
sono per la maggior parte romeni - dice - che hanno imparato a usare il computer negli Anni 80 quando Ceausescu istituì un programma per lo sviluppo tecnologico
nazionale. L'iniziativa creò una generazione di fenomeni del mouse. Con l'operazione PhishChip - continua - siamo riusciti a smantellare due organizzazioni
di hacker, una che lavorava direttamente in Italia, l'altra in Romania. I capi erano un paio di ragazzi giovanissimi, particolarmente dotati in matematica
e informatica". Caratteristiche che sul mercato del lavoro nazionale non sono particolarmente redditizie. Ma che sul web valgono oro.
