cybercrime.jpgDi recente un ricercatore finlandese ha denunciato una seria vulnerabilità cross-site scripting (XSS) che potrebbe rendere possibili determinate frodi mediante il noto sistema di pagamento “PayPal”, di largo utilizzo. Un provider italiano ne ha pagato le conseguenze. Ecco i dettagli.

La falla di sicurezza è molto grave: un cracker potrebbe modificare il contenuto di una determinata pagina di un sito e acquisire illecitamente le credenziali degli utenti. Il problema è che le pagine che sono bersaglio dell’azione del pirata informatico utilizzano un certificato “Extended Validation SSL”, che fa diventare verde la barra degli indirizzi del browser, assicurando il navigatore che la pagina su cui si trova, e dunque il suo contenuto, appartiene a PayPal .
Un provider italiano, Tophost, è stato vittima di una truffa simile e, come è possibile leggere nei comunicati riportati di seguito, è intervenuto rapidamente per risolvere la problematica ed eliminare le conseguenze della frode. Ha inoltre richiesto a PayPal che tutti i fondi dirottati vengano restituiti ai clienti e ha deciso di concedere a quest’ultimi l’attivazione gratuita per un anno.
Ecco i comunicati del provider italiano (dal sito http://www.tophost.it/aiuto/cat2/18/250/):
“Dalle ore 18.17 del 24/05/2008 abbiamo subito una truffa informatica.

Un truffatore informatico, ha alterato la pagina del pagamento PayPal presente nel nostro sito web dirottando i pagamenti verso il proprio account PayPal.

Al momento ogni funzionalità è stata corretta e la pagina dirottatrice è stata messa in sicurezza. Gli ordini vengono processati normalmente.

Domani verificheremo tutti gli ordini con i pagamenti dirottati e ci faremo carico di attivare tutti i rinnovi e tutti gli ordini pervenuti. Per aiutarci in questo aprite i ticket inviandoci le mail di conferma del pagamento che tra l’altro non sono riconducibili a TOPHOST.

Abbiamo aperto la segnalazione verso PayPal e vi terremo informati sullo stato delle cose.

Aperta un thread sul sito PROZONE


Aggiornamento del 26 maggio 2008 ore 16.56.
Stiamo procedendo all’attivazione di tutti gli ordini colpiti dal problema concedendo l’attivazione gratuita per un anno. Gli ordini interessati alla truffa sono quelli inseriti nell’arco di tempo a partire dalle ore 18:14 del 24/05/2008 alle ore 10:45 del 25/05/2008.

Siamo anche in contatto con PayPal a cui abbiamo richiesto che tutti i fondi dirottati vengano restituiti ai clienti.

Aggiornamento del 27 maggio 2008 ore 15.02. Gli ordini coinvolti nel problema sono in lavorazione. Il personale tecnico è tuttora concentrato nella messa totale in sicurezza del sistema e nel controllo in tempo reale che non ci siano accessi non autorizzati.

Abbiamo dei ritardi nella lavorazione dei ticket e chiediamo ai clienti di portare pazienza oltre che scusarci del disagio.

Stiamo contattando tutti i clienti coinvolti per dar loro le istruzioni dettagliate e precisa da inoltrare a PayPal.

Vi terremo aggiornati non appena ci saranno ulteriori sviluppi”.

Ultimi aggiornamenti

cookie policy
Dal 9 Gennaio 2022 sono entrati in vigore particolari adempimenti obbligatori in capo ai titolari di siti web in tema di cookie, previsti dal Garante Privacy. Non hai ancora aggiornato la cookie policy? Hai copiato l’informativa da qualcuno e non sai se è aggiornata? Non sai come gestire i cookie? Se non hai […]
“Chiunque abusivamente esercita una professione, per la quale è richiesta una speciale abilitazione dello Stato, è punito […]”. Il dispositivo dell’art. 348 c.p. afferma che coloro che forniscono contenuti e servizi per i quali è necessaria una speciale abilitazione, in difetto dei requisiti di legge, possono […]
Maggiori tutele per i consumatori di servizi e contenuti digitali Il 1° gennaio 2022 avranno efficacia le disposizioni contenute nel D.lgs. n. 173/2021, in attuazione della Direttiva europea 2019/770, relativa ai contratti di fornitura di contenuto digitale e di servizi digitali. Le novità introdotte dal Codice […]
Evitare problematiche legali sul marchio Registrare un marchio è un onere, non un dovere. La differenza tra onere e dovere può sembrare un arcano (e lo è anche per alcuni tecnici del settore) ma, in estrema sintesi, consiste nella contrapposizione tra ciò che è obbligatorio a […]
smart working linee guida brunetta
Nuove linee guida per le PA sul lavoro agile Sono state pubblicate le tanto attese Linee guida, rivolte alle Pubbliche Amministrazioni, contenenti le indicazioni per l’allocazione e la gestione del personale in smart working. Non tutta la platea dei destinatari coinvolti si è dichiarata soddisfatta del […]
cookie rtd privacy conservazione 2022
Rischio di sanzioni in tema Privacy per il 2022 La forte digitalizzazione degli ultimi anni – sia nell’ambito della Pubblica Amministrazione che nelle aziende private – ha determinato, da una parte, il sorgere di nuove figure, quali ad esempio il Responsabile per la transizione digitale e […]