Frode via Paypal: provider italiano e utenti truffati

Di recente un ricercatore finlandese ha denunciato una seria vulnerabilità cross-site scripting (XSS) che potrebbe rendere possibili determinate frodi mediante il noto sistema di pagamento “PayPal”, di largo utilizzo. Un provider italiano ne ha pagato le conseguenze. Ecco i dettagli.

La falla di sicurezza è molto grave: un cracker potrebbe modificare il contenuto di una determinata pagina di un sito e acquisire illecitamente le credenziali degli utenti. Il problema è che le pagine che sono bersaglio dell’azione del pirata informatico utilizzano un certificato “Extended Validation SSL”, che fa diventare verde la barra degli indirizzi del browser, assicurando il navigatore che la pagina su cui si trova, e dunque il suo contenuto, appartiene a PayPal .

Un provider italiano, Tophost, è stato vittima di una truffa simile e, come è possibile leggere nei comunicati riportati di seguito, è intervenuto rapidamente per risolvere la problematica ed eliminare le conseguenze della frode. Ha inoltre richiesto a PayPal che tutti i fondi dirottati vengano restituiti ai clienti e ha deciso di concedere a quest’ultimi l’attivazione gratuita per un anno.

Ecco i comunicati del provider italiano (dal sito http://www.tophost.it/aiuto/cat2/18/250/):

“Dalle ore 18.17 del 24/05/2008 abbiamo subito una truffa informatica.

Un truffatore informatico, ha alterato la pagina del pagamento PayPal presente nel nostro sito web dirottando i pagamenti verso il proprio account PayPal.

Al momento ogni funzionalità è stata corretta e la pagina dirottatrice è stata messa in sicurezza. Gli ordini vengono processati normalmente.

Domani verificheremo tutti gli ordini con i pagamenti dirottati e ci faremo carico di attivare tutti i rinnovi e tutti gli ordini pervenuti. Per aiutarci in questo aprite i ticket inviandoci le mail di conferma del pagamento che tra l’altro non sono riconducibili a TOPHOST.

Abbiamo aperto la segnalazione verso PayPal e vi terremo informati sullo stato delle cose.

Aperta un thread sul sito PROZONE

Aggiornamento del 26 maggio 2008 ore 16.56. Stiamo procedendo all’attivazione di tutti gli ordini colpiti dal problema concedendo l’attivazione gratuita per un anno. Gli ordini interessati alla truffa sono quelli inseriti nell’arco di tempo a partire dalle ore 18:14 del 24/05/2008 alle ore 10:45 del 25/05/2008.

Siamo anche in contatto con PayPal a cui abbiamo richiesto che tutti i fondi dirottati vengano restituiti ai clienti.

Aggiornamento del 27 maggio 2008 ore 15.02. Gli ordini coinvolti nel problema sono in lavorazione. Il personale tecnico è tuttora concentrato nella messa totale in sicurezza del sistema e nel controllo in tempo reale che non ci siano accessi non autorizzati.

Abbiamo dei ritardi nella lavorazione dei ticket e chiediamo ai clienti di portare pazienza oltre che scusarci del disagio.

Stiamo contattando tutti i clienti coinvolti per dar loro le istruzioni dettagliate e precisa da inoltrare a PayPal.

Vi terremo aggiornati non appena ci saranno ulteriori sviluppi”.