cybercrime.jpgDi recente un ricercatore finlandese ha denunciato una seria vulnerabilità cross-site scripting (XSS) che potrebbe rendere possibili determinate frodi mediante il noto sistema di pagamento “PayPal”, di largo utilizzo. Un provider italiano ne ha pagato le conseguenze. Ecco i dettagli.

La falla di sicurezza è molto grave: un cracker potrebbe modificare il contenuto di una determinata pagina di un sito e acquisire illecitamente le credenziali degli utenti. Il problema è che le pagine che sono bersaglio dell’azione del pirata informatico utilizzano un certificato “Extended Validation SSL”, che fa diventare verde la barra degli indirizzi del browser, assicurando il navigatore che la pagina su cui si trova, e dunque il suo contenuto, appartiene a PayPal .
Un provider italiano, Tophost, è stato vittima di una truffa simile e, come è possibile leggere nei comunicati riportati di seguito, è intervenuto rapidamente per risolvere la problematica ed eliminare le conseguenze della frode. Ha inoltre richiesto a PayPal che tutti i fondi dirottati vengano restituiti ai clienti e ha deciso di concedere a quest’ultimi l’attivazione gratuita per un anno.
Ecco i comunicati del provider italiano (dal sito http://www.tophost.it/aiuto/cat2/18/250/):
“Dalle ore 18.17 del 24/05/2008 abbiamo subito una truffa informatica.

Un truffatore informatico, ha alterato la pagina del pagamento PayPal presente nel nostro sito web dirottando i pagamenti verso il proprio account PayPal.

Al momento ogni funzionalità è stata corretta e la pagina dirottatrice è stata messa in sicurezza. Gli ordini vengono processati normalmente.

Domani verificheremo tutti gli ordini con i pagamenti dirottati e ci faremo carico di attivare tutti i rinnovi e tutti gli ordini pervenuti. Per aiutarci in questo aprite i ticket inviandoci le mail di conferma del pagamento che tra l’altro non sono riconducibili a TOPHOST.

Abbiamo aperto la segnalazione verso PayPal e vi terremo informati sullo stato delle cose.

Aperta un thread sul sito PROZONE


Aggiornamento del 26 maggio 2008 ore 16.56.
Stiamo procedendo all’attivazione di tutti gli ordini colpiti dal problema concedendo l’attivazione gratuita per un anno. Gli ordini interessati alla truffa sono quelli inseriti nell’arco di tempo a partire dalle ore 18:14 del 24/05/2008 alle ore 10:45 del 25/05/2008.

Siamo anche in contatto con PayPal a cui abbiamo richiesto che tutti i fondi dirottati vengano restituiti ai clienti.

Aggiornamento del 27 maggio 2008 ore 15.02. Gli ordini coinvolti nel problema sono in lavorazione. Il personale tecnico è tuttora concentrato nella messa totale in sicurezza del sistema e nel controllo in tempo reale che non ci siano accessi non autorizzati.

Abbiamo dei ritardi nella lavorazione dei ticket e chiediamo ai clienti di portare pazienza oltre che scusarci del disagio.

Stiamo contattando tutti i clienti coinvolti per dar loro le istruzioni dettagliate e precisa da inoltrare a PayPal.

Vi terremo aggiornati non appena ci saranno ulteriori sviluppi”.

Ultimi aggiornamenti

cookie rtd privacy conservazione 2022
Rischio di sanzioni in tema Privacy per il 2022 La forte digitalizzazione degli ultimi anni – sia nell’ambito della Pubblica Amministrazione che nelle aziende private – ha determinato, da una parte, il sorgere di nuove figure, quali ad esempio il Responsabile per la transizione digitale e […]
auth code dns url
Recupero Auth Code e trasferimento del dominio Il nome a dominio consiste nella unione di lettere, numeri e altri caratteri speciali di cui l’utente che ne richiede la registrazione diventa legittimo titolare. Pertanto, quest’ultimo può svolgere una serie di attività con il suddetto, tra cui il […]
Novità sul controllo del Green Pass al lavoro La Camera dei deputati ha approvato definitivamente alcuni emendamenti, già passati al Senato, al disegno di legge di conversione del decreto-legge n. 127 del 2021 (in scadenza il 20/11/2021), decreto che aveva introdotto le attività di verifica del […]
kit green pass
DL n. 127/2021: il Green Pass e le misure organizzative del datore di lavoro Il 21 settembre 2021, il Presidente della Repubblica Sergio Mattarella ha firmato il decreto-legge n. 127 che ha esteso l’obbligatorietà dell’uso del Green Pass anche al mondo del lavoro, a partire dal […]
L’obbligo di specificare i dati raccolti dalle app su Play Store Lo scorso maggio, Google ha annunciato una novità in tema di tutela degli utenti, in particolare in merito alla sicurezza dei loro dati e della loro privacy. Proprio come succede già sulla Piattaforma di iPhone […]