Nel grande buco nero di eBay
[size=18]Nel grande buco nero di eBay
"Così abbiamo violato il sito"
di MARCO MENSURATI e FABIO TONACCI
La sede centrale di eBay in California
ROMA - C'è un buco nel sistema di sicurezza di eBay. Un buco che si apre e che si chiude di continuo, come la porta automatica di un grande magazzino. E che permette a qualunque hacker minimamente capace di entrare in possesso delle informazioni personali riservate dei clienti. E di derubarli. Noi questo buco lo abbiamo individuato, lo abbiamo aperto e poi ci siamo entrati dentro (il video si può vedere sul sito di RepubblicaTv).
Dimostrando, così, quanto sia semplice rubare i dati personali e bancari degli utenti eBay che partecipavano a una determinata asta. Un'asta come tante, usata però come esca. Con l'aiuto di un hacker abbiamo sfruttato quella che tecnicamente si chiama vulnerabilità "cross-site scripting". L'operazione non è così complessa come sembra.
EBay, il più grande sito di compravendita online, dà la possibilità agli utenti che ritiene affidabili di abbellire graficamente le proprie pagine con particolari linguaggi di programmazione. Consegna loro delle chiavi per interagire con la grafica ufficiale, personalizzando l'architettura del sito. Con quelle chiavi - ottenute piuttosto facilmente - gli hacker costruiscono delle aste trappola (non c'è modo di distinguerle da quelle originali) e le dispongono ovunque, in quel suk virtuale che è eBay.
Una volta finito in una di queste aste trappola, l'utente è spacciato: non ha più alcun segreto per l'hacker che, in una pagina parallela, riesce a vedere in chiaro tutti i dati privati dell'account di eBay, password e indirizzo di posta elettronica compresi. Persino il codice di avviamento bancario e parte del codice numerico della carta di credito. E non è tutto. Si può rubare anche l'elenco dettagliato di tutte le aste a cui l'utente ha partecipato.
Con quei dati in mano il resto della truffa potrebbe farlo chiunque. Basta inviare al secondo classificato a un'asta qualsiasi una email, con grafica rigorosamente eBay e con i dati riservati dell'utente, comunicandogli che il vero vincitore si è ritirato dall'affare. Insomma che l'oggetto cercato è ancora a disposizione. Poi gli si chiede di inviare a un conto corrente, magari all'estero, la somma che aveva offerto per l'asta originale. Solo che non vedrà mai arrivare l'oggetto vinto. Un sistema molto efficace, se è vero che ogni giorno, ancora oggi, ci cascano decine di migliaia di persone.
L'entità economica di questa truffa su scala planetaria non è nota. Dati ufficiali non ce ne sono (si sa che in Italia nel 2007 gli hacker in generale hanno causato danni per 5.432.548 euro con le truffe online). EBay non li comunica, non ha alcun interesse a farlo perché gli effetti psicologici derivanti dalla divulgazione di tali dati sarebbero devastanti per tutto l'e-commerce.
Ma basta dare un'occhiata all'Internet crime report dell'Fbi per capire di cosa stiamo parlando: "Nel 2006 - dice la relazione - il 44% del totale dei reati online è stato consumato attraverso la "manipolazione" di aste. E il 19% ha a che vedere con la merce non consegnata". Oppure, per farsi un'idea, si può parlare con gli esperti della polizia postale italiana, o meglio ancora, con le loro "fonti riservate", quelle che trascorrono ore e ore online a caccia di truffe e truffatori, per rendersi conto dell'entità dell'emorragia. Decine di milioni di euro ogni anno. In tutto il mondo.
Nel 2006 c'era stata persino una nota ufficiale del dipartimento di sicurezza degli Stati Uniti che denunciava la vulnerabilità del sistema ma da allora non è stato fatto un solo passo in avanti, come dimostra la nostra incursione. Ma chi approfitta di questo buco nel muro di sicurezza di eBay? Chi sono questi truffatori? A spiegarlo è il maggiore Edoardo Viti, del comando provinciale della Guardia di Finanza di Milano. "Sappiamo che sono per la maggior parte romeni - dice - che hanno imparato a usare il computer negli Anni 80 quando Ceausescu istituì un programma per lo sviluppo tecnologico nazionale. L'iniziativa creò una generazione di fenomeni del mouse. Con l'operazione Phish&Chip - continua - siamo riusciti a smantellare due organizzazioni di hacker, una che lavorava direttamente in Italia, l'altra in Romania. I capi erano un paio di ragazzi giovanissimi, particolarmente dotati in matematica e informatica". Caratteristiche che sul mercato del lavoro nazionale non sono particolarmente redditizie. Ma che sul web valgono oro.
(18 marzo 2008) [/size]
"Così abbiamo violato il sito"
di MARCO MENSURATI e FABIO TONACCI
La sede centrale di eBay in California
ROMA - C'è un buco nel sistema di sicurezza di eBay. Un buco che si apre e che si chiude di continuo, come la porta automatica di un grande magazzino. E che permette a qualunque hacker minimamente capace di entrare in possesso delle informazioni personali riservate dei clienti. E di derubarli. Noi questo buco lo abbiamo individuato, lo abbiamo aperto e poi ci siamo entrati dentro (il video si può vedere sul sito di RepubblicaTv).
Dimostrando, così, quanto sia semplice rubare i dati personali e bancari degli utenti eBay che partecipavano a una determinata asta. Un'asta come tante, usata però come esca. Con l'aiuto di un hacker abbiamo sfruttato quella che tecnicamente si chiama vulnerabilità "cross-site scripting". L'operazione non è così complessa come sembra.
EBay, il più grande sito di compravendita online, dà la possibilità agli utenti che ritiene affidabili di abbellire graficamente le proprie pagine con particolari linguaggi di programmazione. Consegna loro delle chiavi per interagire con la grafica ufficiale, personalizzando l'architettura del sito. Con quelle chiavi - ottenute piuttosto facilmente - gli hacker costruiscono delle aste trappola (non c'è modo di distinguerle da quelle originali) e le dispongono ovunque, in quel suk virtuale che è eBay.
Una volta finito in una di queste aste trappola, l'utente è spacciato: non ha più alcun segreto per l'hacker che, in una pagina parallela, riesce a vedere in chiaro tutti i dati privati dell'account di eBay, password e indirizzo di posta elettronica compresi. Persino il codice di avviamento bancario e parte del codice numerico della carta di credito. E non è tutto. Si può rubare anche l'elenco dettagliato di tutte le aste a cui l'utente ha partecipato.
Con quei dati in mano il resto della truffa potrebbe farlo chiunque. Basta inviare al secondo classificato a un'asta qualsiasi una email, con grafica rigorosamente eBay e con i dati riservati dell'utente, comunicandogli che il vero vincitore si è ritirato dall'affare. Insomma che l'oggetto cercato è ancora a disposizione. Poi gli si chiede di inviare a un conto corrente, magari all'estero, la somma che aveva offerto per l'asta originale. Solo che non vedrà mai arrivare l'oggetto vinto. Un sistema molto efficace, se è vero che ogni giorno, ancora oggi, ci cascano decine di migliaia di persone.
L'entità economica di questa truffa su scala planetaria non è nota. Dati ufficiali non ce ne sono (si sa che in Italia nel 2007 gli hacker in generale hanno causato danni per 5.432.548 euro con le truffe online). EBay non li comunica, non ha alcun interesse a farlo perché gli effetti psicologici derivanti dalla divulgazione di tali dati sarebbero devastanti per tutto l'e-commerce.
Ma basta dare un'occhiata all'Internet crime report dell'Fbi per capire di cosa stiamo parlando: "Nel 2006 - dice la relazione - il 44% del totale dei reati online è stato consumato attraverso la "manipolazione" di aste. E il 19% ha a che vedere con la merce non consegnata". Oppure, per farsi un'idea, si può parlare con gli esperti della polizia postale italiana, o meglio ancora, con le loro "fonti riservate", quelle che trascorrono ore e ore online a caccia di truffe e truffatori, per rendersi conto dell'entità dell'emorragia. Decine di milioni di euro ogni anno. In tutto il mondo.
Nel 2006 c'era stata persino una nota ufficiale del dipartimento di sicurezza degli Stati Uniti che denunciava la vulnerabilità del sistema ma da allora non è stato fatto un solo passo in avanti, come dimostra la nostra incursione. Ma chi approfitta di questo buco nel muro di sicurezza di eBay? Chi sono questi truffatori? A spiegarlo è il maggiore Edoardo Viti, del comando provinciale della Guardia di Finanza di Milano. "Sappiamo che sono per la maggior parte romeni - dice - che hanno imparato a usare il computer negli Anni 80 quando Ceausescu istituì un programma per lo sviluppo tecnologico nazionale. L'iniziativa creò una generazione di fenomeni del mouse. Con l'operazione Phish&Chip - continua - siamo riusciti a smantellare due organizzazioni di hacker, una che lavorava direttamente in Italia, l'altra in Romania. I capi erano un paio di ragazzi giovanissimi, particolarmente dotati in matematica e informatica". Caratteristiche che sul mercato del lavoro nazionale non sono particolarmente redditizie. Ma che sul web valgono oro.
(18 marzo 2008) [/size]